JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。
今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。
8回目は、ミクシィ MS本部 セキュリティ室 室長 渡辺 隆志氏による寄稿です。
【特集】STOP!パスワード使い回し!
ヤフー、楽天らネット企業10社が語る"リスク"と"対策"
はじめに
はじめまして、ミクシィ セキュリティ担当の渡辺です。
今までの連載で
リスト型攻撃とはどんなものなのか?
パスワード使い回しの危険性
各事業者でも対策に力を入れているが、ユーザーの皆様のご協力が必要なこと
実際にどういった事例があったか
などの要点がわかりやすく説明されてきたと思います。ただ、「自分は別にサービスのポイントとか持っていない」とか「決済情報も登録していない」といった理由を挙げ、「別に不正ログインされてもたいして困らない」と思う方がいらっしゃるかもしれません。
今回は、ミクシィのSNSサービス「mixi」での事例を元に、自分だけの問題ではない、ということを紹介したいと思います。
「mixi」での事例
2014年2月にミクシィのSNS「mixi」で起きた、リスト型攻撃による不正ログインですが、この時は、ポイントの利用などではなく、友人向けにつぶやき(mixiボイス)が攻撃者によって投稿されました。
|
|
不正ログインによる投稿イメージ |
イメージの通り、ソフトウェアをダウンロードできるサイトに誘導するつぶやきが、友人に向けて投稿されました。もしこれを見た友人が、あなたの、実際には"不正ログインを行った攻撃者"による投稿を信じてサイトにアクセスしてしまったら、友人が被害に遭ってしまうことになります。
この事例では、幸いにも文面が明らかに怪しく、リンク先のサイトも「フィッシングサイト」や「マルウェア頒布サイト」ではなかったので、影響は軽微と思われます。ただ、より巧妙な投稿で危険なサイトに誘導がなされていた場合、友人が被害に遭ってしまう危険性は高くなると予想されます。
最近は閲覧した"だけ"でウイルス感染といった攻撃手法も出てきていることから、不正ログインによるサービスの悪用と組み合わせることで、ユーザーに更なる被害が及ぶことが考えられます。
自分が不正ログインをされてしまったことで、「友人が被害にあってしまう」ということは、大切な友人に迷惑をかけてしまうことになり、もしそれが大事になれば最悪の場合、友人を失ってしまうことに繋がります。これは決して大それた話ではなく、皆様にとってもなんとしても避けたいことだと思います。
この事例におけるミクシィの対策と、皆様へのお願い
この不正ログインに関して、ミクシィでは
不正なつぶやきの削除
不正ログインの対象となるユーザーへパスワード変更の依頼
不正利用者のアクセス制限の実施
「mixi」の全ユーザーに対して注意喚起
といった対応を行っています。また、不正ログインへの対策を強化すると共に、危険な投稿についても、監視・削除体制の構築やツール整備など、日々不正ログイン対策を強化しています。
とはいえ、リスト型攻撃は今までの連載でも各社の方が説明している通り、事業者側の対策だけでは、完全に防ぐことが困難となっています。ですので、改めて、パスワードの使い回しはしないようにお願いします。
「自分は別に不正ログインされても困ることにない」と思っている方でも、特にSNSなどのコミュニケーションサービスでは、パスワードの使い回しをしないことを意識し、自分自身だけでなく、「大事な友人を守る」という意識も持っていただきたいです。
著者プロフィール
![]()
渡辺 隆志(わたなべ たかし)
1998年よりポータルサイト運営会社でWEBアプリケーションエンジニアとして、主にコミュニケーション・CGM系サービスの開発に従事したのち、2006年にミクシィに入社。
ミクシィ MS本部 セキュリティ室 室長
同社入社後はシステム運用・インフラを統括。社内CSIRT(mixirt)の一員としてインシデント対応も担当。2014年より現職でミクシィグループの情報セキュリティに注力。
