前回のコラムで「MS Passport」の問題を取り上げましたが、コラム中で「IDとパスワードによる認証には、セキュリティ強度的に様々な問題がある」と書きました。
実際に起こるネットワーク関連事件を見ても、パスワードに絡む問題が多数を占めているようです。

そこで当ガイドサイトのコラムにて、実際に起こった事件を紹介したり、技術や製品などをご紹介しながら、パスワード認証の問題点や回避・防御方法などを不定期連載の形で考えていきたいと思います。

まずはMainichi INTERACTIVE「インターネット事件を追う」を参照させていただき、パスワードに絡んだ最近の事件をピックアップしてみましょう。
  • パスワード売買でID屋を初摘発
    パスワード認証は「ID」と「パスワード」の組み合わせで認証を行うわけですが、Yahoo!ではこのうちの片方「ID」が誰からでも見える状態になっています。「掲示板」「オークション」「メッセンジャー」などで表示されている「ユーザの名前」は、すべてイコール「ID」となっています。

    よって、単純に考えればIDとパスワードの両方が見えないサイトよりも2倍危険と言えるわけで、それが日本最大のオークションサイトであれば当然犯罪者が目をつけないわけがない、となります。
    さらにご丁寧なことに、Yahoo!には「ID検索」や「メンバーディレクトリ」といった機能もあり、たとえば「50歳以上」「男性」「株式投資に興味がありそうな人」などといったIDの探し方ができてしまいます。おかげさまでID屋さんも、「お客様」のニーズにぴったり合った人物のIDを提供できるというわけです。(笑)

    ただこの事件の場合、犯人が「ネットの掲示板」に広告を掲載するというタコをやってくれたおかげであっさりお縄となりましたが、独自の流通ルートを持っている犯罪者がIDとパスワードのセットを大量に手に入れ(しかもお客様のニーズに合わせて)売りさばけば、より深刻な事態になることも考えられます。
  • 他人のパスワードを不正利用し、ネット競売で10億円豪邸落札
    こちらは「ID屋」ではなく、実際に不正入手したIDとパスワードを使ってネットオークションを利用した例です。IDとパスワードがばれてしまえば、このような目に遭ってしまうという意味ではよい例でしょう。
    たださすがにここまで高額になると、常識的に考えて電話や郵便で確認を取りますよね。これは有効な方法です。単に「イライラした」上での嫌がらせ程度ならこれで防止できるでしょう。

    ただし、電話や郵便での確認であれば、昔ながらの取り込み詐欺の手法が使えます。このあたりを巧妙に組み合わせて商品や支払い方法を慎重に選べば、よりばれにくく被害の深刻な詐欺が成立してしまう可能性があります。

    それにしても11億6600万円とは…。こんな値段のものをネットオークションで売り出すということ自体が驚きです。