芸能人のSNSなどが不正ログインの被害にあっていたことが18日、警視庁の発表で明らかになった。一連の報道で気になった点をとりあげつつ、基本的な不正ログイン対策について考えたい。
■「Facebook」「iCloud」への不正ログイン--想定される被害は甚大
容疑がかけられているのは、芸能人3名と一般女性1名のFacebookと、芸能人5名のiCloudへの不正ログインだ。Facebookは、有名人や芸能人の公式ページも多い交流サイトで、ログインされると勝手に読み書きされるほか、自身の非公開情報や公開が限定されている友達の投稿、メッセンジャーの会話、アップロードした連絡先などが覗き見されるおそれがある。iCloudは、アップルの人気スマートフォンiPhoneのデータ保管などを行うサービスで、保管機能を有効にしている場合には、撮影した写真やビデオ、連絡帳、カレンダー、リマインダー、作成したファイルなどのデータがここに保管される。iCloudメール(アドレスが@icloud.com、@me.com、@mac.comのメール)を利用している場合には、送受信メールもここに保管されており、侵入されると覗き見されたり、勝手にメールを送られたりするおそれもある。今回の被害は、写真へのアクセスといった限定的なものだったようだが、ストアなどのアップルの他のサービスも全て同じアカウントで利用できるので、不正ログインの影響は計り知れない。
■簡単だった?パスワード突破--氏名や誕生日から推測
各社の報道によると、逮捕された容疑者は、氏名や生年月日から推測したパスワードを使い、不正ログインしたと供述しているという。「推測されにくい長くて複雑なパスワードを設定する」ことが、不正ログインを防ぐ重要なポイントだったのだ。
「パスワードは使いまわさずサービスごとに個別に設定する」というのも重要事項だ。例えば、Facebookアカウントには、メールアドレスが登録されている。Facebookアカウントのログインには、このメールアドレスかユーザーネーム、ユーザーIDのどれかを使用する。メールアドレスは非公開にできるが、ユーザーネームやユーザーIDは公開情報なので、初期状態ではパスワードが破られると即侵入されてしまう。侵入すると非公開情報も全て閲覧できるので、登録してあるメールアドレスが分かる。それがiCloudメールで、同じパスワードを使いまわしていたら、iCloudも共倒れだ。同じメールアドレスとパスワードの組み合わせを、他のサービスでも使用していたなら、それらにも被害が拡大してしまうかも知れない。
■誰も気付かなかった不正ログイン--「覗き見」開始は一昨年から
一連の不正ログインが行われたのは、一昨年から去年にかけてのことである。別の事件で今回逮捕された男とは別の男の自宅を家宅捜索した際に、パソコンの中からFacebookやiCloudのID/パスワードが大量に見つかり、この男が一般女性のFacebookに侵入していたことが発覚した。この男は昨年11月、不正アクセス容疑で逮捕されている。18日付毎日新聞Web版によると、その時の被害女性のFacebookアカウントの接続記録を調べたところ、女性のアカウントに侵入していた今回の容疑者が浮上したという。容疑者は先月逮捕され、押収したパソコンから芸能人のID/パスワードリストや非公開の写真が見つかり、今回の再逮捕になったようだ。18日付の産経ニュースWeb版によると、被害者はいずれも覗き見されていたことには気付いていなかったという。
不正ログイン対策には、不正ログインを防止するための事前策と、防ぎきれずに不正ログインされてしまった場合の事後策の両方を考えておく必要がある。事後策は、できるだけ早く不正ログインに気づき、被害が広がらないように対処することなのだが、覗き見だけの被害は、長期間続いても気付きにくい。不正な投稿や改ざんなどの目に見える問題が発生しないと、不正ログインは見過ごしてしまいがちだ。
次回は標的になったFacebookとiCloudの機能を使った、不正ログインを見過ごさないようにする方法と、パスワードを破られても不正ログインされないようにする方法をご紹介する。
(2016/05/25 ネットセキュリティニュース)