Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

パスワードを忘れよう(前編)

 このところID・パスワードを盗まれたという報告が、世界中から発せられるようになった。Googleによると、年間19億件のID・パスワード盗難があるという。例えば「British Air」は、利用者が偽サイトに誘導されて同社のサイトにアクセスするID・パスワードをに盗まれた件で、英国政府からGDPR違反を問われ約250億円の罰金を言い渡されて係争中である。企業側としては、偽サイトを防止することは極めて難しいので、責任はあっても重くないと主張したいのだろう。

 

 さて盗まれたID・パスワードはどうなるかというと、「闇サイト」で販売されることもある。あるセキュリティベンダーの役員から聞いたが、「びっくりするようなものまで、売られている」という。これが、卸売市場というわけ。そこでID・パスワードを仕入れた「仲買人」は、そのまま転売することもあるがひと工夫加えることもある。

 

    f:id:nicky-akira:20190929071822j:plain

 

 誰でも、ID・パスワードは結構使いまわす。僕も複数のサイトで使うそれらについては、微妙に変えてはいるがまるきり違うものだと思い出せない。特に滅多に使わない(利用価値の低い)ものについては、標準的なID・パスワードを設定している。

 

 そこで「仲買人」は、入手したID・パスワードを、いろいろなサイトにぶつけてアクセスできるか試すことがある。「数撃ちゃ当たる」方式なので、一発でも当たれば儲けものくらいのつもり。手慣れた「仲買人」だと、攻撃サイトのリストを作って自動的に(マシン任せにして)攻撃を続け、その間は優雅にコーヒー豆を曳いていたりする。専門家によるとこれを「リスト攻撃」といい、ID・パスワードの微妙なバリエーションを自動的に生成することもある。

 

 うまくサイトにアクセスできたら、「仲買人」はこのID・パスワードのセットを必要としている「商店」に売るわけだ。「商店」のほうでは、実際になりすまして犯行に及ぶのだが、もちろん実行犯は見知らぬアルバイトを雇う。「オレオレ詐欺出し子」同様、捕まっても自分に類が及ばない手足を使うわけだ。

 

 このように組織的に犯行に及ばれれば、個人はもちろん普通の企業では対応できない。そこで根本対策として「ID・パスワードそのものをやめましょう」という動きが出てきた。

 

<続く>