IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、大手インターネットショッピングサイトで、大規模な不正利用事件について報告している。

相次ぐ不正利用事件

IPAによると、2011年7月から大手のインターネットショッピングサイトで、購入した覚えがないにも関わらず、代金の請求をされるという事件が、約4,000件発生しているとのことである。このショッピングサイトでは、同様の事件が2009年末から2010年の初めにかけても発生していた。2011年に発生した同様の事件には、次のようなものが報告されている。

  • 大手インターネットサービスプロバイダーでの、第三者のなりすましによる、商品に交換できるポイントの盗難(2011年5月)
  • 日本国内の大手・地方銀行のインターネットバンキングにおける不正利用(2011年6月~7月)
  • 科学雑誌出版社のウェブサイトへの不正アクセスに起因した、個人情報・カード情報の漏えいと不正利用(2011年8月)

IPAでは、これらは氷山の一角であると指摘する。その理由は、実際の被害が発生したから露見したのであり、情報漏えいが発生しているか不明な不正アクセスまで含めると、非常に多数になると推察される。いずれにせよ、その被害数は膨大になっており、いっそうの注意が必要であろう。さて、原因であるが、IPAでは、IDやパスワードの窃取としている。そして、被害を拡大させてしまった原因として、同じパスワードを使いまわしていることをあげている。以下、具体的にその報告を見ていこう。

ウイルス感染で、IDやパスワードを盗まれる

まずは、ウイルス感染である。手口としては、ウイルスが混入したファイルが添付されたメールを送りつける、不正なWebサイトに誘導し、強制的にウイルスをダウンロードさせる(ドライブバイダウンロード)である。まず、メールを使った手口であるが、最近では、関係者や関係機関を装う「標的型攻撃」も多数報告されている。また、2011年3月の大震災や原発事故などを悪用した例も見られる。知り合いを装い、いかにもというような内容を含んだメールを送りつけるのである。これにより、「不審なメールは開かない」といった注意力も低下し、つい添付ファイルを開いてしまうのである。

まず、不正なWebサイトへの誘導であるが、最近、流行しているSNSなどを悪用するものが目立つ。これらのサービスでは、友人や知人といった関係が多い。ここでも、注意力の低下が発生する。さらにTwitterなどでは、短縮URLが使われるので、URLから判断がつきにくいといったことも一因となる。そして、ドライブバイダウンロードでは、OSやアプリケーションの脆弱性が悪用される。IPAでは、これ以外にもUSBメモリで感染するウイルスが活発に活動を継続しており、注意が必要としている。

フィッシング詐欺サイトで盗まれる

ついで、可能性があるのは、フィッシング詐欺サイトである。実在する有名企業などを騙り、偽のWebサイトに誘導する。そこで、ユーザーに個人情報、IDやパスワード、クレジットカード番号、口座番号、暗証番号を入力させて、盗み出す手口である。その際には、「システム変更があった」「セキュリティの再確認をする」といった理由が騙られることが多い。しかし、一般的に銀行やクレジット会社が、パスワードや暗証番号などの重要情報を、このような方法で確認したり、入力させることはありえない。IPAによると、ショッピングサイトの事件では、ユーザーが大手インターネットショッピングサイトを騙るメールから偽のWebサイトに誘導される。そこで、IDやパスワードを窃取されたと考えられるとのことである。

被害を拡大させたパスワードの使い回し

IPAでは、パスワードの使い回しが被害拡大の要因と指摘する。インターネットを使ったサービスの多くがIDやパスワードによる認証を必要とする。しかし、利用するサービスが増えてくると、つい同じパスワードを使ってしまう。これが使いまわしである。

図1 不正利用された原因とパスワードの使い回しによる被害拡大(今月の呼びかけより)

結果として、1つのIDとパスワードを入手した攻撃者は、複数のサービスでも不正利用が可能となってしまう。

不正利用への対策は?

さて、対策であるが、IPAによれば、まず励行してほしいのが、普段あまり利用していないインターネットサービスも、ログインが可能かを定期的に確認することであるとしている。さらにその際、今後利用しないと思われるサービスに関しては登録解除をすることを推奨している。あまり利用していないと時間をかけてパスワードが解析され、窃取されたことにも気がつかない危険性があるからだ。そして、一般的な対策としては、次がある。

  • セキュリティ対策ソフトを導入し、最新の状態に保つ
  • OSやアプリケーションなどの脆弱性を解消する

ウイルスやフィッシング詐欺にしても、注意力だけで防ぐことは、非常に難しくなっている。一部のセキュリティ対策ソフトでは、ウイルスを検出するだけでなく、危険なWebサイトを事前に遮断する機能などがある。さらに、IDやパスワードについて再度、見直しをしてみるのもよいであろう。IDはともかく、パスワードに関しては、単純なものではなく、文字種類や文字数の多いものに変更することである。しかし、そうすると今度はパスワードが覚えにくくなってしまう。紙にメモをする場合でも、IDとパスワードを一緒に書かずに保管するなど、管理方法も考える必要があるだろう。

そして、万が一にも被害に遭ってしまった場合である。IPAでは、すみやかに請求されたクレジット会社やインターネットサービス会社に不当な請求であることを報告し、対応を求めるようにとのことだ。また、消費生活センターに相談することも有効とのことだ。場合によっては、警察に被害申告をすることもありえる。都道府県の警察本部にはサイバー犯罪相談窓口も設置されているので、そちらにも相談してほしいとのことだ。