その漏えいしたID、自分の「お金」に直結していませんか？：半径300メートルのIT（2/2 ページ）

[宮田健，Business Media 誠]

「マスターIDが盗まれた」に気づけるか

　今回、OCN IDと呼ばれるIDと、ハッシュ化したパスワードがセットで漏えいしています。ハッシュ化したパスワードはパスワードそのものではないので、これですぐにログインされるものではありません。ですが、今回の漏えいでは「不審なプログラムファイルが設置されていた」ということなので、実際のところ何が発生しているのかは確定できません（OCNは現時点において「それ以外の個人情報が流出した形跡は見つかっていない」としています）。

　万が一、OCN IDのログインが可能な状態になっていた場合、OCN家計簿のようなアカウントアグリゲーションサービスを使えば、預金情報などにストレートにアクセスが可能になる状態ができているということです。

　また、金融機関の登録情報には、住所や生年月日、連絡先などが表示されているでしょう。これらの情報をもとにコールセンター経由で電話をすれば、本人確認をすり抜けてしまう可能性もあります。

　通常、金融機関の振込処理などは、Webサイトにログインする情報のほか、暗証番号などが必要です。しかし、一部金融機関ではそれを行うための情報までアカウントアグリゲーションサービスに登録をさせているものもあります。

　これはつまり、マスターIDの下に、直接資産につながる重要な情報がひもづいていることになります。アカウントアグリゲーションサービスを利用している人にとっては、これは単なる情報漏えい事件ではありません。

　少々気になりましたので、今回の流出情報から万が一パスワードが判明してしまったときに、どのような対応が取れそうなのかを考えてみました。OCN家計簿の場合は、下記の利用規約が関連しそうです（参照リンク）。

　ざっくりまとめれば、もしものときの責任は利用者が負ってね、ということですが、この規約をどう判断するかは、読者のみなさまにゆだねるとしましょう。

便利／リスクのバランスを見直そう

　結論としては当たり前なことになりますが、便利な機能の裏にはリスクがあることを考えなくてはなりません。往々にして、安全を考えると不便になり、便利を追求するとセキュリティに不安を感じることになるでしょう。しかし、直接私たちの「お金」が関係するならば、少々不便でも安全側に振っておいたほうが無難です。

　クレジットカードに関する情報漏えいであれば、カード番号を変えることや、不正利用をカード会社側で停止することもできました。しかし、オンラインバンキングでの振込は即時に行われるため、止めるのは難しいかもしれません。これはOCNに限った話ではありませんが、もう一度金融機関に関連するID、パスワードを見直し、

• 金融機関で利用しているパスワードだけでも強固なものにかえる
• 金融機関のID、パスワードを他のサービスと連携しない、もしくは連携リスクを再度チェックする

など、安全の棚卸しをしてみてはいかがでしょうか。