今年の春、日本国内の大手企業が運営するオンラインストアがリスト型アカウントハッキング攻撃を受け、約46万件のIDに不正ログインされたことがニュースになりました。
これによる被害は、不正ログインを受けたユーザーの氏名や住所、電話番号などの個人情報が第三者に閲覧されるというものです。
このように、昨今、国内大手ポータルサイトや会員制ウェブサイトに対する不正アクセスや攻撃が多発しています。それらの多くは、いわゆる「リスト型アカウントハッキング攻撃(リスト型攻撃)」によるもので、何らかの手段により個人情報であるIDやパスワードを入手した第三者が、これらのID・パスワードをリストのように用いて様々なサイトにログインし、被害が拡大しています。
リスト型攻撃によるものとみられる不正アクセスが増加している背景には、インターネットバンキングやフリーメールサービス、動画投稿サイト、ソーシャル・ネットワー キング・サービス(SNS)などのインターネットを用いたサービスが拡大し、多くの人がサービス利用に当たって自らのアカウントを所有するようになったことが関係しています。 特に、ID・パスワードによりアカウントにログインすれば、ウェブサイトから、氏名・住所などの個人情報やクレジットカードなどの信用情報など多様で重要な情報が得られるようになったことが要因と考えられます。
ある調査によれば、ID・パスワードによるログインが必要となるウェブサイトについて、一人あたり約 14 のウェブサイトを利用しているとも言われています。 その利用者のうち約7割が3種類以下のパスワードを複数のウェブサイトで使い回しをしているとのことです。リスト型攻撃は、このような現状を悪用したサイバー攻撃であると言えます。
リスト型攻撃から個人情報や信用情報などを守るためには、どうすればよいでしょうか。
利用者自身がID・パスワードの管理に際して対策を実施すべきであることは言うまでもありません。
しかし、リスト型攻撃による不正アクセスの発生やそれに伴う個人情報の漏洩は、企業のコンプライアンス上の問題でもあり、企業の信用を損ねる危険があります。
また、内部調査及び復旧のためにサービスを停止する事態になれば、多くの不利益や損失が発生することになるなど、サービスを提供する事業者側にとっても大きな問題となります。このため、サービスを提供する事業者として、ビジネス的観点やインターネット利用の安全・安心を確保する観点から、サービスの運営に際して適切な対策を実施することが不可欠です。
では、今後のリスト型攻撃による被害の拡大を防ぐため、ID・パスワードを用いてサービスを提供する事業者、特に利用者がID・パスワードを自ら設定する形態をとっている事業者として実施することをお勧めする方策について考えていきましょう。
例えば、名前や住所などの個人情報やクレジットカード情報などの信用情報に至るまで、管理されている情報資産の価値はさまざまです。それらに合わせた適切なレベルの安全対策を選ぶ必要があります。