トレンドマイクロセキュリティブログでは、世界中に存在するウイルス解析などを目的としたリージョナルトレンドラボの解析者による最新情報が提供される。日本における動向分析においては、国内事情を反映したレポートが行われる点にも注目したい。興味深い内容があれば、こちらで紹介していく予定である。
続発する不正アクセス事件
2013年に入ってから、多くの不正アクセス事件が発覚・報道されている。まずは、それをまとめたものが、表1である。
表1 2013年の主な不正アクセス事件
| 報道/公開日 | 業種 | 内容 | |
|---|---|---|---|
| 1 | 1/7 | 食品業・商社 | 担当者が不整合なデータを発見したことから発覚。サーバーに不正アクセスの痕跡が検出。サーバー内のデータベースに改ざん被害が発生 |
| 2 | 2/19 | サービス業 | Webサーバーのアクセス障害調査から発覚。Webサーバーに不正アクセスの痕跡が検出。2月7日から2月11日までの期間に6回の不正アクセスが行われ、サーバー上のデータベースが侵害された疑い |
| 3 | 3/3 | クラウドサービス事業者 | 不正アクセスの試行と思われる不審なネットワーク挙動の確認から発覚。保存情報の侵害の痕跡は確認されなかった |
| 4 | 3/15 | 小売業 | Webサイト上の異常から発覚。2月6日から3月14日までの期間、Webサイト上で入力したクレジットカードデータが不正サイトへ転送される改ざんが行われていたのを確認 |
| 5 | 3/22 | サービス業 | 不正ログオンの試行の確認から発覚。保存情報の侵害の痕跡は確認されなかった |
| 6 | 4/4 | 情報通信業 | サイトへの不正アクセスの検知から発覚。サイト上に保管されているユーザー情報を不正に抽出するプログラムの存在を確認し、強制停止処理を実施。停止までに127万件のデータが抽出されていたことを確認 |
| 7 | 4/4 | 電気通信事業者 | 特定IPアドレスから大量の不正アクセスに対する調査から発覚。30個のアカウントについて、不正ログイン、不正操作が行われていた可能性 |
| 8 | 4/4 | 情報通信業 | サーバー異常に対する調査から発覚。特定のIPアドレスから約10万個のアカウントに対する機械的な不正ログイン試行を確認 |
| 9 | 4/5 | サービス業 | 顧客からの指摘に対する調査から発覚。299個のアカウントについてなりすましによる不正ログイン、不正操作が行われていたことが確認される。サーバーからの情報漏えいは確認されていない |
| 10 | 4/6 | 情報通信業 | サーバー高負荷への調査から発覚。779個のアカウントに対し不審なIPアドレスからのログイン試行を確認 |
| 11 | 4/17 | 陸運業 | 一連の不正アクセス事件の発生から確認を行い発覚。特定のIPアドレスから約1時間半の間に26000件のアクセスがあり、97名の会員アカウントで不正ログインの発生を確認 |
これらはあくまでも不正アクセスが発覚したものだ。つまり、現時点で発覚していない、まさに現在進行中の不正アクセスの存在も否定できない。トレンドマイクロによれば、表1の1から4番と6番は、侵入試行と情報窃取を目的としている従来型のハッキングといえる。しかし、4月に入って変化がみられる。不正ログインやWebサービスのアカウントに対するハッキングとなっている。5番や7から11番がそれに該当する。
具体的な攻撃内容であるが、10番の事件では情報通信業者からアカウントあたりの不正ログインの試行回数が公開されている。それによると、779件の不正ログインのうち、94%は2回以内の試行でログインが成功している。これは、攻撃者があらかじめアカウントとパスワード情報を入手していたと推察できるとのことである。
原因は「パスワードの使い回し」
トレンドマイクロでは、このような不正アクセス事件の原因として「パスワードの使い回し」を指摘している。Webサービスなどでは、アカウントにメールアドレスを使うことが多い。さらに多くのユーザーが、異なるWebサービスに対し、同一のアカウントで同一のパスワードを使用することが多い。そこを、攻撃者は狙っているのである。
6番のような方法でアカウントとパスワード情報を入手し、その情報を使い、他のWebサイトで試すのであろう。パスワードの使い回しが多いほど、攻撃の成功率は高まる。
基本的な対策は「パスワードを使い回さない」
パスワードとして、数字や記号を含め、辞書にない言葉を使うべきといわれる。こうして複雑に作成されたパスワードは、安全性が高い。しかし、一方で覚えにくいという弊害が発生する。メモに書いて、ディスプレイに張り付けていたのでは、どんなに強固にしてもパスワードの意味はない。毎日使用するパスワードならば、覚えることも可能であるが、月に1度程度の使用頻度であると、覚えておくのは非常に難しい。そこで、使用したいのが、パスワード管理ツールである。
 |
図2 トレンドマイクロのパスワードマネージャー(無償版) |
図2は、トレンドマイクロが提供するパスワードマネージャーである。5つのパスワードまでならば、無償で利用できる(6つ以上は、月額150円)。初めてアカウントやパスワードを入力するタイミングで、登録を行う。以降は、そのWebサイトを閲覧するたびに、自動的にパスワードが入力されるようになる。パスワードの自動生成機能もあるので、記号などが含まれた強固なパスワードの設定も可能である。注意すべきは、パスワードマネージャを保護するマスターパスワードは、強固なパスワードを設定する必要がある。これが、破られると元も子もない。この点だけは十二分に注意したい。
