コンテンツを開く

テーマのトレンド

アカウント乗っ取り攻撃は破られやすいパスワードによって実行される

F-Secure Japan

02.09.20 4 min. read

アカウントの乗っ取りとは、何者かがあなたのオンラインアカウントに不正アクセスすることです。アカウント乗っ取り詐欺は、犯罪者がオンラインアカウントに保存されているあなたの個人情報にアクセスすることで、オンラインIDの盗難につながる可能性があります。盗んだアカウントの情報を利用して、ハッカーは例えば、あなたのクレジットカードで商品を購入したり、あなたの名前で融資を受けることができます。ハッカーがあなたのアカウントを乗っ取るためには、あなたのパスワードとユーザーネームが必要です。

典型的なアカウント乗っ取りのケース

アカウント乗っ取り詐欺は、犯人側にとってはリスクがないうえに大きな利益を得ることができるため、深刻な問題になっています。「自分自身には起こっていなくても、誰かほかの人に起こったということを聞いたことがあるのではないでしょうか?」 エフセキュアのビジネスディベロップメントマネジャーであるOlli Bliss (オッリ・ブリス) はこのように述べています。ブリスがアカウント乗っ取りについてさらに詳しく説明している末尾の動画をご覧ください。

ある日、ブリスの同僚は彼の息子からNetflixのアカウントにアクセスできないことを知らされました。同僚の息子は、Netflixのアカウントと同じパスワードを別のオンラインサービスアカウントでも使っており、そのオンラインサービスで発生したアカウント流出の際のデータに含まれていました。しかし、同僚の息子はそのことを知りませんでした。流出したパスワードがNetflixと同じだったため、誰かがそのパスワードで同僚の息子のNetflixのアカウントを乗っ取り、パスワードを変更していたのです。「これは、脆弱なパスワードを使い回しているとどういうことになるかという典型的な事例です」とブリスは述べています。

クレデンシャルスタッフィング – 侵入するための自動化されたプロセス 

オンラインサービスが侵害されると、ハッカーは一度に膨大な量の盗んだログイン認証情報にアクセスすることができます。この盗んだ情報を使ってアカウントにアクセスする方法は、クレデンシャル・スタッフィングと呼ばれる高度に自動化されたプロセスです。ハッカーは盗んだユーザーネームやパスワードの組み合わせをタイプしていくだけでなく、この操作をプログラムに実行させます。こうすればどのパスワードが被害者のオンラインアカウントにアクセス可能かをはるかに迅速にテストできます。

ハッカーは、複数のクレジットカード番号やその他の支払情報が含まれるオンラインアカウントで盗んだ認証情報でログインできるかどうかを試してみます。クレデンシャルスタッフィングによって、アカウントの乗っ取りは個人を対象としたものではなくなっています。これは自動化された犯罪行為であり、支払い情報やその他の機密性の高い個人情報は、オンラインでの個人情報の窃盗に使用されます。

クレデンシャルスタッフィングによって他のアカウントにアクセスできるのは、同じパスワードが他のサイトでも使用されているからです。これに対抗するには、それぞれのアカウントにアカウント固有のパスワードを設定することです。1つのアカウントが不正アクセスを受けても、それと同じパスワードはほかのアカウントへのアクセスには使用できません。たとえば、オルリ・ブリスが語ったケースでは、NetflixのパスワードがNetflix専用のパスワードだったならアカウントは無事だったはずです。しかし、心配ご無用です。すべてのパスワードを記憶する必要がありません。これにはパスワードマネジャーが使えます。この簡単な安全対策にもかかわらず、ほとんどの人が複数のアカウントで同じパスワードを使用しています。

あたなの個人情報はインターネット上に拡散しています

新しいサービスを利用するために自分のプロフィールを作成したり、オンラインで買い物をしたりする時には、なんらかの個人情報を提供する必要があります。どの程度の、どのような個人情報を提供する必要があるかは利用するサービスによって異なります。偽の情報を記載できる場合もあるかもしれませんが、ほとんどの場合それはできません。たとえば、買い物をする場合、正しい住所と宛先に発送してもらう必要があります。そもそも買い物をするには、実際のクレジットカードや支払についての情報を提供する必要があります。こうしてサービスプロバイダーはこれらの情報を自社のデータベースに保管します。

私たちはみな多くのオンラインアカウントを持っており、ほとんどの人が複数のオンライン店舗で買い物をしています。非常に多くのグループが私たちの個人情報を保管しています。おそらく作成したオンラインアカウント全部は覚えていないでしょう。自分が生きている間にオンラインで購入した買い物も同様です。しかし、これらのデータは存在し、どこかに保管されている可能性があります。さらに気掛かりなことは、より重要なアカウントで使用している同じログイン認証情報によって、これらのオンラインのアカウントに、古い物も新しいものも含めて、アクセスできる場合が多いということです。さらに、これらのアカウントはデータが流出しやすくなっています。他のアカウントよりも流出に対して脆弱なアカウントもあります。

脆弱なパスワードによってどのようにアカウントが乗っ取られるのか

ハッカーは、たとえば巨大な国際企業が行っているセキュリティ対策と比較して、セキュリティに対してあまり多くの注意を払っていないサービスを標的にします。同じログイン認証情報を複数のサービスで使用している人が多いため、ハッカーが盗むことのできるデータは別の場所でも簡単に利用できます。このように、データが流出したサービスは一見重要ではないように思われますが、実際には重大なセキュリティ上の脅威になる場合があります。

重要な点は、あまり重要ではないウェブサービスでのデータ流出ということではなく、そのサイトからユーザーのログイン認証情報が盗まれ、より重要なサービスへのアクセスに利用されるということです。オッリ・ブリスが語ったケースのように、Netflixのアカウントそのものがハッキングされたのでははく、Netflixと同じパスワードを利用していたサービスがハッキングされたのです。同じパスワードが、たとえば、PayPalで使用されていたと想像してください。アカウント乗っ取り詐欺が発生する理由はここにあります。アカウント乗っ取りは、オンラインの個人情報窃盗への第一歩です。これがパスワードに注意を払わなければならない理由です。

どのオンラインアカウントにも共通なことは、すべてのアカウントにパスワードが必要であるということです。問題はここにあります。同じパスワード、またはごく少数の同じパスワードを使用していて、そのうちの一つがハッキングされた場合、ハッカーはそのパスワードで他のアカウントにアクセスできます。次に示すように、脆弱なパスワードによってアカウントの乗っ取りが可能になります。

データ流出を知らない場合は対応できません

一つだけの強力なパスワードを使用していても、アカウントへの不正アクセスは発生する可能性があります。あなたのアカウントが不正アクセスを受けハッカーはあなたのパスワードを取得したとします。あなたは自分のアカウントを保護するために対応策を講じることができるでしょうか?アカウントが不正アクセスされたということを最初に知っていなければ、答えはノーです。ここで救いの手を差し伸べるのがF-SECURE ID PROTECTIONです

F-SECURE ID PROTECTIONは、他社にはない非常に便利な機能を備えたパスワードマネジャーです。設定すると自分データをオンラインで監視できるため、お使いのサービスでデータ流出が発生すると知らせてくれます。これによって、ハッカーがあなたのアカウントを乗っ取る前にパスワードを変更できます。

ID PROTECTOINはパスワードマネジャーとしても機能するため、強力で一つしかないパスワードを生成し安全に保存できます。アカウント乗っ取りや個人情報窃盗に遭遇しないことを可能にする非常にパワフルなツールです。

F-Secure Japan

02.09.20 4 min. read

カテゴリ

コメントを残す

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

What-is-identity-theft-protection

関連する投稿

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。