クラウドサービスのユーザーアカウントが狙われている。米ツイッターは2013年2月、ミニブログサービス「Twitter」が攻撃され、約25万人のアカウント情報にアクセスされた可能性があることを明らかにした。クラウドサービスを提供する事業者はアカウント情報の漏洩やアカウント乗っ取りを防ぐ新たな対策を迫られている。
ツイッターの事件では、システムに対する攻撃は食い止めたものの、約25万人分のユーザー名、メールアドレスや暗号化されたパスワードなどが漏洩した可能性があると発表された。対策として同社は、該当するアカウントのパスワードをリセットしている。
2012年12月には、米グーグルのメールサービス「Gmail」のアカウントが大量に乗っ取られる事件も発生した。ユーザーのログイン画面に対してユーザー名やパスワードの推測および総当たりによる攻撃が行われたようだ。攻撃者は乗っ取ったアカウントのユーザーになりすまし、アドレス帳に登録されていたメールアドレスへ迷惑メールを送信している。
クラウドサービスのアカウントは今後も狙われ続けるだろう。
Gmailのアカウントは、GooglePlayというオンラインストアのアカウントとして利用できる。悪用すれば各種製品・サービスを不正に購入可能だ。ユーザーIDとしてメールアドレスを指定するショッピングサイトで、Gmailのアドレスを割り当てているユーザーも少なくないだろう。そうしたショッピングサイトでも不正購入が行われる可能性がある。
また、TwitterやFacebookのようなSNS(ソーシャル・ネットワーキング・サービス)には、他のクラウドサービスとアカウントを連携させる仕組みがあり、急速に普及している。TwitterやFacebookのアカウントを盗めば、複数のクラウドサービスに対する不正アクセスが可能になる。
まず、クラウドサービスのユーザーは今回の事件を機に自分のパスワードを変更するといった対策を行うべきだ。私は、アカウント管理を含めたコンピュータセキュリティの知識はIT利活用の初歩であると考えている。アカウント管理を適切に実行できない状態は、どこが危険かも知らずに道路を歩いているようなものだ。基本知識を身に付け、手綱を締めるところと緩めるところのバランスを自らとれるようにしたい。
