アイツのIDでログインできちゃった→それは「犯罪」です半径300メートルのIT

» 2014年06月16日 12時00分 公開
[宮田健,Business Media 誠]

著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。アイティメディアのONETOPIでは「ディズニー」や「博物館/美術館」などのキュレーターをこなしつつ、自分の生活を変える新しいデジタルガジェットを求め日々試行錯誤中。


 パスワードの問題は尽きることがありません。あるサイトから流出したIDとパスワードのセットを使い、別のサイトでログインを試みるパスワードリスト型攻撃で、「niconico(参考記事)」や「LINE(参考記事)」、「mixi(参考記事)」など、多くのサイトが被害を受けています。

 パスワードリスト型攻撃は多くのアカウントが同時に被害に遭うので、発覚さえすれば大々的な報道がされることが多いです。しかし、弱いパスワードを狙う攻撃、特に「特定個人を狙う」攻撃は、報道されることもなく知らぬ間に行われている可能性があります。

弱いパスワードを狙うのは誰?

 弱いパスワードとは、「123456」とか「qwerty」とか「password」といった、誰もが思いつくような文字列を指します。もちろん誕生日や電話番号といった、第三者が簡単に推測できるようなパスワードも弱いものの代表例です。残念ながら、そのようなパスワードを使っている人も多いことでしょう。

 このようなパスワードを使っている場合、ありがちなパスワードを片っ端から入力しログインを試みる「パスワード辞書攻撃」で被害に遭う可能性があります。

 しかし、もっと恐ろしいのは、身近な同僚、友人、さらには家族が仕掛ける不正ログインなのではないでしょうか。Facebookで誕生日と表示されたので、試しにアイツのTwitterのアカウントに、誕生日をパスワードとして入力したらログインできちゃった……実はこれ、れっきとした不正アクセス行為、犯罪です。

 「不正アクセス行為」とは、IDやパスワードによりアクセス制御機能が施されているサービスにおいて、正しい権限がないのに不正に利用できる状態にすることを指します。要するに、他人のIDとパスワードを使って、ログインした時点で「不正アクセス禁止法違反」となります。

 不正アクセス行為の禁止等に関する法律は、下記のように規定されています。

(不正アクセス行為の禁止)

第三条 何人も、不正アクセス行為をしてはならない。

(罰則)

第十一条 第三条の規定に違反した者は、三年以下の懲役又は百万円以下の罰金に処する。

 軽い気持ちで他人のアカウントへログインしたことで、逮捕された事例も多く存在します。不正アクセスというと、企業の情報漏えいや犯罪組織のことを想像するかもしれませんが、最近では「ソーシャルゲームで友人が使っていたアイテムが欲しかった」「SNSにログインできてしまったので勝手に投稿してみた」といった、カジュアルな不正アクセスが増えているように思えます。

家族を犯罪者にしないために

 特に注意をすべきなのは、未成年による不正アクセスなのではないかと思います。強いパスワードの作り方や、パスワード使い回しの危険性を学ぶことなくSNSサービスを使い始め、ゲーム感覚で他人のアカウントにアクセスするなど、知らずに犯罪行為が行われている可能性があります。

 先日、2chのスレッドに、あるタレントのTwitterアカウントとブログに不正にログインしたことを、まるで自慢するかのようにTwitterに投稿しているスクリーンショットが掲載されていました。投稿された文章から、おそらく中学生、高校生くらいの年ごろでしょう。そのタレントが弱いパスワードを設定していたがために起きた事件ではありますが、まったく悪びれる様子のない投稿に、筆者は背筋が凍りました。

Tw 決して“おいしいネタ”ではないのだが、被害に遭っているタレントにも危機感がない

 子どもたちだけでなく、私たちは不正アクセスがどれだけの犯罪になるかあまり意識せずにネットを利用しているのではないかと思います。決して「ネットは何でもアリ」ではなく、モラルが必要な世界です。

 パスワードを使い回さないのも重要、強いパスワードを使うのもとても重要ですが、それ以前に「他人のID/パスワードで不正にログインしない」。この当たり前のことも、誰かがちゃんと教えてあげないといけないと思うのです。

Copyright © ITmedia, Inc. All Rights Reserved.