不正アクセスといえば、今年は東京ディズニーリゾート顧客情報流出事件や、楽天市場とビッダーズの顧客情報流出事件など大きな事件が相次ぎ、世間の耳目を集めた。11月にもオンラインゲームやショッピングサイトへの不正アクセス事件がたて続けに起きている。前者は内部関係者による盗み、後者はサーバーの脆弱性を突いた犯行だが、いずれも金銭目的で行われていることでは共通している。
●内部関係者による犯行 ~ 背景に「アイテム類の高額取引」
11月15日、オンラインゲーム運営会社の元契約社員が顧客のIDとパスワードを盗み出し、ゲームサイトに不正にアクセスして逮捕された。
・「ハンゲーム」顧客情報163件流出で、元アルバイト社員と大学生逮捕(2005/11/17)
この事件の2人は、顧客のアカウントを使ってゲームサイトにアクセスし、キャラクタが持っていたアイテム類を盗み売っていたという。一般の方には信じられないことかも知れないが、オンラインゲームの貴重なアイテム類が、数万~数十万円の現金で取引されている現実がある。この手のオンラインゲームがらみのトラブルを挙げればきりがなく、国民生活センターにも多数の相談が寄せられている。
・国民生活センター、オンラインゲームのトラブル急増で注意呼びかけ(2005/12/12)
前述の東京ディズニーリゾート顧客情報流出事件や、楽天市場とビッダーズの顧客情報流出事件も、ふたを開けてみれば関係者による犯行だった。
●サーバーの脆弱性突く犯行 ~ 背景に「個人情報の売買」
11月19日、大手下着メーカーのワコールと、同社ショッピングサイトの管理を行っていたNECネクサソリューションズは、システムが不正アクセスを受け顧客情報が流出したと発表した。
・ワコール、不正アクセスでカード情報を含む4,757名の顧客情報流出(2005/11/21)
・ワコールオンラインショップ、新たに367名分の顧客情報流出が判明(2005/11/28)
こちらは外部からシステムの脆弱性を突き、サーバーのデータベースに保存されていた顧客情報をごっそり盗み出した事件だ。流出が確認された顧客情報は5,124名。うち、2,016名分にクレジットカード情報が含まれており、カードの不正使用によって顧客情報の流出が発覚。不正使用があったのは、奇しくもゲームサイトだったという。
ワコールに続いて28日には、同じ管理会社に置かれているリトルアンデルセンの「キッズオンライン」も、同様の手口でメールアドレスが流出。29日には、個人情報取得を目的に旅行会社や人材派遣会社など多数のサイトに不正アクセスを繰り返していた中国人留学生に、懲役1年、執行猶予3年の判決が言い渡されている。留学生は、集めたメールアドレスや個人情報を売っていたという。
●どうすればいい? ~ 漏えいに備えたささやかな自己防衛策
私たちの手が届かないところで、個人情報が盗まれ、売買されたり不正使用されている現実がそこにある。自分自身の不注意から起こる事故なら対策の立てようがあるが、内部犯行やサーバーの脆弱性から起こる漏えいの抜本的対策はサイトの管理・運営側に委ねられており、個人では対応しようがない。しかし、個人としてできることが皆無というわけではない。ささやかではあるが、もしもの時に被害を最小限に抑える方法として、ぜひ次の事柄を参照していただきたい。
・ユーザー登録が必要なサイトの利用は最小限に
そのサイトは、氏名や住所、メールアドレスを入力してまで利用する必要があるサイトだろうか? 必要性を検討し、ユーザー登録そのものを限定するようにしよう。
・パスワードは使いまわさない
複数のサイトで同じパスワードを使用しているユーザーが多い。すべてに破られにくい個別のパスワードを設定するのが無理ならば、せめて登録情報の重要度と相手への信頼度に応じて、何パターンかを使い分けるよう工夫しよう。とくにネットバンキングなどのダメージが大きいサイトのパスワードは、絶対に流用してはいけない。
・メールアドレスも使い分け
ネット上には有料無料のメールサービスが多数あり、複数のメールアドレスを持つことができる。パスワードと同様、登録時に使用するメールアドレスも登録先に応じて複数を使い分けるようにする。
・登録情報は最小限、便利な機能もほどほどに
サイトに登録する情報は、必要最小限にとどめる。買い物サイトなどカード番号をいちいち入力しなくてすむ機能は便利だが、次回からの入力が省ける機能は、サーバーやローカルのどこかに入力情報が保存されている。保存された情報は、常に流出の危険を伴う。
・不要なユーザー登録は解除
登録したサイトを利用しなくなったら、面倒でもすぐに登録を解除し情報を抹消してもらう。年に数回しか利用しないようなところは、その都度、登録・解除するくらいの気持ちでいた方が安全だ。
●不正アクセスの罠 ~ 市立図書館、県立BBS、大手新聞社でも
サーバーの不正アクセスには、Webページの改ざんを目的としたものもある。攻撃者たちの腕自慢的な軽い改ざんから、なりすましや嫌がらせ、破壊を目的としたものまで中身はいろいろだが、中でも不特定多数のユーザーが直接被害を受ける可能性があるものに、フィッシングサイト化や不正なプログラムの埋め込みがある。
・笠岡市立図書館、不正アクセスによるフィッシングサイト化から復旧(2005/11/18)
1か月ぶりに再開した笠岡市立図書館は、サイトの一部にフィッシング用のページが作成されていたという。このほかにも、11月28日には不動産会社のアンケートサーバーがフィッシングに利用されていたことが判明。7月には三重県の掲示板にも、フィッシングサイト用のプログラムが埋め込まれていたことが報告されている。世界中で毎日のように作られては消えてゆくフィッシングサイト。その多くは、こうした不正アクセスによって作られたものなのだ。
5月に起きたカクコムや静岡新聞などの一連の不正アクセス事件では、サイトを改ざんして閲覧した利用者に不正なプログラムをダウンロードさせる仕掛けも埋め込まれていた。最近では、10月に発覚した朝日新聞も同様。日ごろから「怪しいサイトに近づかない」を実践していても、信じていたサイトがある日突然、豹変していることもあるのだ。
アクセスするたびに疑心暗鬼になっていてはインターネットを楽しむどころではない。予測不可能な不正プログラムやウイルスに対抗するためには、セキュリティソフトの導入を決して怠ってはならない。
(執筆:現代フォーラム 鈴木)
【参考資料】
・平成17年上半期の不正アクセス行為の発生状況等について[PDF](警察庁)
http://www.npa.go.jp/cyber/statics/h17/image/pdf26.pdf