パスワードの漏えいで900万円以上の被害に

流出パスワードを悪用した事件が後を絶ちません

流出パスワードを悪用した事件が後を絶ちません

2016年7月、楽天スーパーポイントで900万円以上が不正に使われた事件がありました。楽天サイトには140万件の不正アクセスがあり、そのうち4万件のアカウントでログインに成功していたそうです。どこかで流出したパスワードリストが犯罪組織に渡って今回の事件に発展したとみられています。こうした不正ログインによる事件は後を絶ちません。

一見安心できるように思えるサイトでも、こうした漏えい事件は起きています。どこかのWebサービスで登録した自分のメールアドレス・パスワードが流出していても不思議ではない、と言い切っても過言ではなさそうですね。今回はメールアドレス・パスワード流出に焦点を当ててレポートします。

メールアドレス流出を確認できるサイト「Have I Been Pwned?」

自分のメールアドレスが漏えいしていないかチェックできるWebサイトHave I Been Pwned?が話題になっています。このサイトでは過去にメールアドレス流出を起こしたオンラインサービスのデータが登録されていて、自分のメールアドレスを入力することで漏えいの有無をチェックすることができます。

「Have I Been Pwned?」は闇サイトで流通している情報を上げているので、漏えいがあったサービスの運営側が公表する数字よりも正確に近い流出情報といえるでしょう。試しに、私のメールアドレスでチェックしてみました。

サイトの使い方は簡単です。サイトのトップページで、メールアドレス(またはID)を入力して「Pwned?」をクリックします。
メールアドレスの他には、IDでもチェックできます

メールアドレスの他に、IDでもチェックできます

あらら、Adobeで登録しているパスワードが流出していたようです。
流出したサイトが表示されます

流出したサイトが表示されます

漏えいがわかったら、すぐにパスワードを変更しましょう。私はすぐに、Adobeで登録しているパスワードを変えました。
漏えいが確認されないときは「Good news」の文字が

漏えいが確認されないときは「Good news」の文字が


注意点として、このサービスではすべてのパスワード流出事件を網羅しているわけではありません。「Have I Been Pwned?」運営側で入手できた情報に限られますので、もしセーフの判定でも油断だけは禁物です。

パスワードの使い回しはダメ、絶対

知らないところで流出したパスワードがリスト化され、不正アクセスに悪用されています。そしてとても残念なことに金銭被害も起きています。ユーザーはどのような対策ができるのでしょうか。

まず、パスワードを使い回すのは危険ですのでWebサービスごとに別々のパスワードを設ける必要があります。それと推測可能な弱いパスワードを使わない(意味を持たないランダムな大小英数字及び記号のパスワードを使う)ことも大切です。またパスワードを使うデバイスにはウイルス対策ソフトを使い、パスワード詐取を目的とした偽サイト(フィッシング詐欺)にも注意したいところです(「Amazonのログイン画面を偽装!フィッシング詐欺に注意」や「狙われるネット銀行、フィッシング詐欺からどう守る?」も参考にご覧ください)。

しかし、数多くの複雑なパスワードを覚えることは現実的ではありません。そこで、一般的にはパスワード管理ソフトやエクセルなどを活用します。私は、ウイルス対策ソフトのセキュア・ブラウザでアクセスするネット銀行パスワードは手帳、それ以外はブラウザのFirefoxのパスワード保存機能(備忘録として手帳にパスワードを記載)を使っています。過去にはエクセルも試しましたが、パスワード変更時の入力を忘れてしまったりとなじめず、この方法になりました。自分に合った、作業ミスのない方法を選択するのがポイントになるでしょう。

パスワードの他に、セキュリティサービスが提供されている場合もあります。たとえば、いつもと違うデバイスからログインがあると登録したアドレスにメールが届くなど。万が一の不正アクセスに備えて、このようなサービスをしっかりと活用したいところです。

私の経験上、「デジタルは信用しない」という方はとても慎重でITリスクをうまく回避しています。信頼できるサイトであっても油断せずにしっかりと自己防衛してくださいね。


【関連記事】
Facebook写真が覗き見される?不正アクセスを防ぐには

【関連サイト】
Have I Been Pwned?


※記事内容は執筆時点のものです。最新の内容をご確認ください。
※OSやアプリ、ソフトのバージョンによっては画面表示、操作方法が異なる可能性があります。