マイナンバー・ICTが拓くセキュアで豊かな社会

山口 利恵

第4回 カフェ発 SNSのっとり、若くたって被害者に!パスワードリスト攻撃

NEWICT

2019.04.08

携帯の故障を疑う前にパスワードを変更して自己防衛

 カランカラン♪

 いつもの時間に常連の竹見が現れた。

「あ、竹見先生、いらっしゃいませ。」

 絵美と加藤はそろって、声をかけた。近所にある帝都大学を定年退職した竹見は、いつも決まった時間にこのカフェに現れる。

「加藤くん、いつもの。」と言いながらいつも座る席に向かった。

 さっそく加藤は、コーヒーサーバにネルをセットすると、コーヒーの粉が入っているドリップポットに手をかけ、コーヒーをいれはじめた。その横で絵美はグラスに水を入れながら、再び加藤に向かって話し始めた。

「もしかしたら、サトも気づいていないかも知れないということですね。アカウントの乗っ取りかどうか、サトに確認した方がいいですね。」

「きちんと確認した方がいいと思うよ。もしその子が本当にイベントに勧誘していたのであれば、別の意味で大変だからね。」

 絵美は、すばやく自分のスマホにメッセージを入力すると、水を持って竹見の席に向かった。

「仕事中にスマホなんて、めずらしい。」

 竹見は、グラスをおく絵美に声をかけた。

「あ、ちょっと友人のことで。」と言いかけた時、絵美のスマホから「ピロン♪」という電子音が鳴った。

 絵美は、ポケットからスマホを取り出し、画面を見終えると加藤に向かって言った。

「彼女、こっちに来るって言ってるわ。」

 絵美と加藤のやり取りを聞いていた竹見が、ゆったりとした口調で絵美に声がけした。

「何かあったんですね。」

 絵美は、竹見にこれまでの経緯を順を追って説明しはじめた。

 カランカラン♪

 しばらくすると、入り口で体半分覗かせながらサトが現れた。

「こんにちは、絵美さんがこちらにいると思うんですが。」

「あ、サト。いらっしゃい。」

 絵美は、入り口まで迎えにいき扉を開けた。絵美は、サトをカウンターまで案内し、コーヒーのオーダーをとった。

「なんか、変なことになっているって聞いたんですが?」

 コーヒーの準備をしている加藤と絵美に向かって、サトが話しかけた。

「サト、こんなグループの招待が来たんだけど。」

 絵美は、昨日、招待をうけたグループが表示されたスマホ画面をサトに見せた。

「え? 私、そんなのしらないよー。第一、そんなブランドに興味ないし。」

「やっぱり。」

 そういうと、加藤、絵美、竹見の3人は顔をみあわせ相槌を打った。

「それが、変なことに関係あるの?」

「これ、サトから勧誘されたんだよ。」

「そんなわけないよー。だってそんなグループ、まったくしらないもの。」

 サトは、全くあずかり知らぬことと、顔の前で両手を大きく振った。

「最近、変な気配なかった?」と、加藤がグラスを拭きながら尋ねた。

「実は、最近スマホの挙動がおかしい気がしたので、機種変したんです。出してもいないメッセージが勝手に出ていたりするので、てっきりスマホが壊れたのだと思って。」

「それ、スマホのせいじゃない可能性が高いなぁ。」

と言いながら、加藤はアカウント乗っ取りの可能性について説明した。

「何ですかそれ、気持ち悪いですね。すぐにパスワード変えなきゃ。」

 サトはそういうと、さっそくスマホに向かって作業をはじめた。

「でも、なんでパスワードが漏れたのかなぁ。やっぱり前のスマホに何か問題があって漏れたのでは?」と、横で話を聞いていた絵美が加藤と竹見に尋ねた。

「おそらくパスワードリスト攻撃(*)みたいなことがおきたんだと思うよ。それで、あるサーバからサトさんのパスワードが盗まれてしまったんだ。」

「それ、だいぶ前に新聞で読みました。でも、そういう場合は連絡がくることになっているんじゃないですか?」

 じっと話を聞いていた竹見が声をかけた。

「まだまだそういう攻撃は減らないと思いますよ。そもそもサーバ管理者が全てを把握しているとは限らないから、何かおかしなと思ったらすぐにパスワードを変えたりするなど、自己防衛するべきだったね。まだまだIDとパスワードに頼る社会だし、対策も十分じゃないということだよ。」

*パスワードリスト攻撃(リスト型攻撃/アカウントリスト攻撃)

 パスワードリスト攻撃とは、悪意のある者が、何らかの方法で事前に入手したIDとパスワードのリストを流用して他のウェブサイト等にログインを試みる手口です。ここで、ログインに成功すれば、そのサイトに同じIDとパスワードが利用されていることがわかります。そのIDとパスワードを使って勧誘などを行うわけです。

 また、この動作は複数のウェブサイトへのログインを自動的に行うプログラム等を用いているため、複数のサイト情報を一気に手に入れることができます。そのため被害が拡大しているわけですそもそもこうした攻撃を受けるのは、同じパスワードを色々なサービスで使う人が多いからだと言われています。

この記事をシェアする

特別企画 被災自治体とマイナンバー

マイナンバーマガジン 月刊 自治体ソリューション2016年7月号

2016/07 発売

ご購入はこちら

すぐに役立つコンテンツ満載!

地方自治、行政、教育など、
分野ごとに厳選情報を配信。

無料のメルマガ会員募集中

関連記事

すぐに役立つコンテンツ満載!

地方自治、行政、教育など、
分野ごとに厳選情報を配信。

無料のメルマガ会員募集中

  • facebook

山口 利恵

山口 利恵

東京大学大学院情報理工学系研究科ソーシャルICT研究センター特任准教授

2003年津田塾大学理学研究科数学専攻修士課程修了。2006年東京大学大学院情報理工学系研究科博士後期課程修了 博士(情報理工学)、独立行政法人 産業技術総合研究所 研究員。内閣官房情報セキリュティセンター員兼務を経て2013年から現職。主な研究テーマである「ライフスタイル認証・解析」に関する各種講演やセミナーの登壇者として、また、「Society5.0を見据えた個人認証基盤のあり方懇談会」構成員を務めるなど、多方面で活躍中。

閉じる