ネット通販やオンラインバンキングなどの利用に欠かせない「パスワード」。ハッカーたちは、あらゆる手段を使って、あなたのパスワードを狙っている。

 「見せたいものがある」

 今年初め、取材で知り合った日本人ハッカーの1人が送ってきた1通のメール。添付ファイルを開くと、アルファベットと数字が並んだ膨大な文字列が画面いっぱいに表示された。

 ■ネット上で闇売買

 「iPhoneとiPadのユーザーIDとパスワードです」。メールの文面には、ネット上の闇市場で1件10ドル前後で売られていた、との説明があった。

 これは本物なのか。

 IDからたどることができた24件の利用者に取材した。関西の冠婚葬祭会社の男性社員は、顧客への説明にiPadを使っていた。記者が伝えたIDとパスワードには覚えがあった。見知らぬ中国語のアプリがダウンロードされたため、今年に入り変えた、元のパスワードだった。

 昨夏、iPadと接続していたパソコンがウイルスに感染。よく利用するサイトに「契約情報の確認」という画面が突然現れ、指示されるままIDとパスワードを打ち込んでいた。

 偽の画面にパスワードなどを入力させ、盗み取る「フィッシング」の被害に遭った可能性が高い。男性は「なぜ私が狙われたのか。本当に気持ちが悪い」と憤る。

 ■1台が月4000万回攻撃

 日本最大のネットオークションを運営する「ヤフー」。ひと月510億回のアクセスをさばく裏で、不正侵入を企てるサイバー攻撃にさらされている。その現状を、朝日新聞の取材に初めて明らかにした。

 4265万1735回――。3月8日までの1カ月間に1台のコンピューターが攻撃を続け、ヤフー側が防いだ回数だ。発信元は国内。同じ時期、中国や韓国国内のコンピューターからも、300万回以上の攻撃があった。IDとパスワードに使われそうな「単語帳」をもとに、例えば1秒間に数十回、侵入を試みる手口。「辞書攻撃」と呼ばれ、成功率は低い。

 ところが2年ほど前から、実在するIDとパスワードを使い、一度も失敗せず不正侵入に成功するケースが出てきている。

 「百発百中攻撃」。同社のセキュリティー部門トップ、戸田薫さんはこう呼んでいる。調査の結果、思わぬ原因が見えてきた。

 「ヤフーと同じIDとパスワードを他でも使い、それが盗まれて不正侵入に悪用されたようだ。これでは防げない」

 ネット通販はもちろん、フェイスブックやツイッターなど、ネットサービスを使うたびにIDとパスワードが求められる。覚えきれなくなり、同じものを使い回す。利用者のそんな行動が見て取れる。

 ■不正侵入の報告次々

 警察庁によると、国内では昨年5月~今年3月、約11万4千件の不正侵入が企業から報告された。今月、検索サイト「goo」で約10万件の不正侵入が見つかった問題でも、使い回しが原因で破られた可能性が指摘されている。

仮に使い回しをしているIDとパスワードがハッカーの手に渡り、次々と侵入に成功されれば、個人情報や所属企業の機密情報などが根こそぎ奪われる可能性すらある。

 「使い回しは誰もが経験しているのではないか。被害が連鎖的に広がるリスクを覚悟した方がいい」。米セキュリティー大手マカフィーの本橋裕次・サイバー戦略室長は警告する。


     *

 ハッカーがIDやパスワードを狙う目的は、ずばり「カネ」だ。

 昨年秋、国内のオンラインバンキングの不正送金事件が相次ぎ発覚した。警察庁によると、偽の画面にIDやパスワード、暗証番号を入力させる手口で、昨年1年間で約4900万円の被害を確認。今年は2月中旬までに約2700万円の被害が確認されたという。

 海外では昨年、欧州を舞台に60億円以上が不正送金される事件が起きた。イタリアを皮切りに、ドイツ、オランダと60以上の金融機関に飛び火した。摘発に協力したマカフィーの報告書によれば、金融機関への侵入にはサーバー60台が使われた。被害者に送金が気づかれぬよう通知を届かなくしたり、残高の画面を改ざんしたりしていた。

 世界のサイバー攻撃を研究する独立行政法人・情報処理推進機構の加賀谷伸一郎調査役によると、発信元の国の時間でみると、攻撃は午前9時から正午にかけて活発化し、再び午後2時から同5時まで活発化する傾向があるという。「出勤してひと仕事。昼休みをとって、また活動。会社員のような行動に見える」

 ■守るためには?

 攻撃のプロが「ビジネス」として狙うパスワード。守るすべはあるのか。

 加賀谷調査役はまず、IDやパスワードの使い回しは絶対に避けるよう強調。そのうえで、8桁以上の英数字の不規則な組み合わせを勧める。アルファベットの大文字と小文字の52字、0~9の数字10字の計62字を8桁並べれば、約218兆通り。10桁なら約84京通りとなる。さらに記号を加えれば、解読は相当難しくなる。

 オンラインバンキングなどを利用するたび、携帯電話などに届く一度限りの暗証番号「ワンタイム・パスワード」も有効だという。

 加賀谷調査役は「パスワードの使い回しをしなければ仮に漏れても被害は最小限に食い止められる。残念ながら、セキュリティーが破られる最大の要因は『人間』なんです」。

TKY201304070317








あなたのパスワードが狙われている


TKY201304070318










ハッカーが「iPhoneとiPadのIDとパスワード」と説明して送信してきたメールの一部。IDなどはすべて暗号化されている


TKY201304070316










ヤフーの防御システムが防いだ、1台のコンピューターからの不正アクセス数。韓国や中国からも300万回以上の攻撃があった

2013年4月8日朝日新聞デジタル