私たちの日常には、IDとパスワードでログインして利用するサービスが急増しています。暗記では追い付かなくなって、同じパスワードを複数のサービスで使っている人も多いかと思います。パスワード管理アプリやパスワード専用ノートを利用している人もいますよね。
あえて言うまでもないことですが、パスワードは他人に教えてはいけません。多くのSNSでは、IDがプロフィール画面に出ています。パスワードさえわかれば、他人でもログインできてしまいます(スマホのSMS認証や認証アプリを有効にしていれば別)。SNS以外のWebサービスも「ID=メールアドレス」の場合が多く、知り合いならすぐにわかりますね。
フィッシング詐欺などでIDやメールアドレス、パスワードが漏えいし、悪質な業者によって自分のSNSアカウントが乗っ取られてしまうというニュースはよく目にします。でもここでは、そうした大規模な話ではなく、狙いを定めたアカウントに対して個別に不正ログインする件についてお話したいと思います。
アカウントの乗っ取り事件が多発
2023年1月、20代女性(9人)のInstagramのアカウントを乗っ取ったとして、茨城県在住の20代男性が不正アクセス禁止法違反などの疑いで逮捕されました。男は「リア充の女性に嫌がらせをしようと思った」と容疑を認めているといいます。男は不正ログインするとすぐにパスワードを変え、本人がログインできないようにしてアカウントを乗っ取っていたそうです。
男は面識のない女性たちのパスワードをどうやって知ったのでしょうか。供述によると、女性のアカウント名や投稿から生年月日を推測したとのこと。Instagramには誕生日のプレゼントやケーキなどを投稿する人が多いため、生年月日の推測は簡単でしょう。あとは、名前やペットの名前、好きな芸能人の名前などを組み合わせていけば、パスワードが推測できてしまうのです。
ほかにも、2022年12月には、20代の友人女性のInstagramアカウントを乗っ取り、わいせつ画像を投稿した京都府の20才女性が書類送検される事件が起きています。こちらも、名前や生年月日でパスワードを推測したそうです。
SNSだけではありません。2023年2月には、慶応大の学生が別の学生の履修登録システムに不正アクセスし、履修登録を消去したことで停学3カ月の処分を受けていたことがわかりました。動機については明らかになっていませんが、被害を受けた学生は進級や卒業に影響する可能性がありました。学生のメールアドレスやパスワードは決まった規則で作られていることが多く、提供されたものをそのまま使用していたのかもしれません(指定のメールアドレスとパスワードを使うことが規則となっている場合もあるでしょう)。
ゲームのアカウントを乗っ取り、転売した事件も起きました。2022年3月、鹿児島県の男子高校生が滋賀県に住む少年のゲーム用アカウントを乗っ取り、書類送検されています。滋賀県在住の少年がゲーム実況を配信している画面で個人情報を見て悪用したそうです。乗っ取ったアカウントは転売しており、過去にも転売の経験があったとのことです。
気軽な気持ちで不正ログインする子どもたち
以上は事件となった出来事ですが、若い人たちが知り合いのアカウントを乗っ取る話もよく聞いています。取材した女子中学生は、「クラスの男子にInstagramを乗っ取られて、DMをのぞかれていた」と話していました。その男子が自ら「お前のインスタ見てるぞ」と教えてきたそうです。ネットの掲示板には「ヒマだから彼氏のアカウントにログインしたらできてしまった」「友だちのアカウントにノリでログインした」という書き込みが数多く見られます。不正ログインしたことがバレてしまわないか、不安になって書き込んでいるようです。
カップルで「乗っ取り合い」をしている人たちもいます。お互いのアカウントをいつでも見ていいということで、パスワードを教えているのです。お互いに了承している間柄であれば、問題ないのかもしれません。
乗っ取りに関しては、若い人ほど気軽に行っている印象があります。子どものころから「親友だから私のパスワードを教えてあげる」と秘密として共有したり、SNSで部活のアカウントを共同運営するような機会が多いことも理由なのかもしれません。
他人のアカウントにログインすることは、罪に問われる可能性があります。知り合いのアカウントをのぞいてみたいと思っても踏みとどまるべきです。保護者の皆さんは、お子さんと前述の事件を例に話し合ってみてください。
また、パスワードを推測されないようにして、自分を守ることも大切です。「名前+誕生日」などのわかりやすいパスワードにしている場合は、他人に推測されにくいパスワードを設定しましょう。もしパスワードを誰かに教えてしまったら、すぐにパスワードを変更してください。親しい人だからと教えたとしても、やがて関係が悪化することもあります。自分になりすまされてしまったら、何が起こるかわかりません。
二段階認証(多要素認証)が提供されているサービスなら、設定しておくと安心です。冒頭でも触れましたが、ユーザーIDとパスワードでログインしたのち、さらにサービス側から自分のスマホに届くSMSに書かれている文字列を入力することによって、ログインが完了するという仕組みです(SMS以外のものもあります)。これなら、自分のスマホを持っていないと(さらにロックを解除できないと)、サービスにログインできません。二段階認証はつい後回しにしがちかもしれませんが、忘れないうちに設定しておいてくださいね。