ネットサービスへの相次ぐ不正アクセスでユーザーができることは?
ここのところ相次いで不正アクセスのニュースが流れたがソフトバンクモバイル株式会社が提供しているユーザー専用サイト「My SoftBank」において2月24日と25日に特定のIPアドレスから、第三者によって、外部で盗まれたと考えられるIDやパスワードを元に不正なアクセス(リスト型攻撃)が行われたことが判明した。
なお調査の結果、同社のサーバーからのMy SoftBankのIDおよびパスワードの漏えいは確認されていないという。
■ここ一連の各サービスへの不正アクセスと無関係とは思えない
さて、ここで思い返すと2月24日にはてなへの不正ログインが発覚、これははてなとは別のルートで外部に漏れた正規のIDとパスワードが利用されたため、当初は不正ログインを検知できなかった。はてなのポイントをAmazonギフト券に交換して特定のメールアドレスに送信するサービスが悪用された可能性があるという。
さらに同時期にmixiへの不正アクセスも発覚している。mixiへの不正アクセスは2月の5日から11日にかけて行われており、その際にメールアドレスや携帯アドレス、OpenIDといった情報が漏れてしまっているのは間違いない。昨年の2013年8月にグリーのユーザーデーター3万9590件が漏えいし不正ログインが行われた。その後、10月にグリーの件で漏えいしたと思われる情報を使いMobageへの不正ログインが発覚と連鎖的に不正アクセスが行われている可能性がある。
■各SNSにおける同一メールアドレスとパスワードの使い回しの危険性について
はてなの設定にはmixiやTwitter、FacebookといったSNSの自分のページへのリンクを表示させる機能がある。登録されているメールアドレスとパスワードがこれらのサービスと同じだった場合、そこにある個人情報ももちろん漏れてしまうし、mixiとDeNAがサービスを行っていて3月25日にサービス終了を予定しているmixiモールには、住所と電話番号の入力が必須になっており、そこから携帯電話番号が漏れた可能性がある。
そしてその携帯電話番号を使ってMy SoftBankのユーザーIDに番号を入力、そして別サービスのパスワードを使い回していたためにログインできてしまったということもあり得る話だろう。
■パスワードを使い回すにも工夫を!
たとえばパスワードは、同じ文字列を覚えておけるのであれば、単に使い回すだけでなく、文字をずらすことでも変化させることができる。単純な例として
「012345abcde」という文字列を右に1文字ずらせば
「e012345abcd」になり、左に1文字ずらせば「12345abcde0」になる。
これを2文字右ずらし、3文字左ずらしといった方法でいくつかのパターンに変更することができる。覚えておくのは基本となる文字列でいいわけだ。4月に基本の12文字を割り当て、あとは左か右に1か月ごとにずらしていき1年で元に戻る。翌年は前年とは反対側にずらしていくという運用だけでも、かなりパスワード漏えいの危険性は低くなる(絶対に危険がなくなることはない)。
どんな状態であれパスワードを突破される危険性はあるのだ。ただ最近のWebサービスへのログイン処理では、一定回数以上不正なパスワードが入力された場合、特定のアドレスにメールを送る処理やログインが一定時間できなくなるといった対応がされるようになってきている。
スマホやタブレットの爆発的普及により、IDとパスワードを複数利用している人は多い。数多くあるWebサービスのIDやパスワードを別々にするのは面倒だという人でも、こうした自己防衛を行っておかないと、後々痛い目に合う可能性が高くなる。やはり定期的にパスワード変更をおススメしたい。
■My SoftBank不正アクセスに関する問い合わせ先
・ソフトバンクカスタマーサポート
ソフトバンク携帯電話から:157
フリーコール:0800-919-0157(無料)
■お客さまへのMy SoftBankパスワード管理のお願いと不正アクセスへの対応について
■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook
■セキュリティの記事をもっと見る
・本日はインターネット安心デー!たまにはネットセキュリティを意識してみよう
・“その日”が過ぎるといったいどうなる? 4月9日以降のWindows XPに関する情報
・複雑なパスコードでiPhoneやiPadを安全に守る