情報セキュリティに関する相談や届け出を受け付けている情報処理推進機構(IPA)は2011年12月5日、ユーザーIDとパスワードを盗まれて、Webサービスを不正利用されるケースが相次いでいるとして注意を呼びかけた。
IPAによれば、2011年はWebサービスの不正利用事件が多数発生しているという。攻撃者は、正規ユーザーのIDとパスワードを盗んでそのユーザーになりすまし、サービスを不正に利用する。
例えば6月から7月にかけては、国内銀行のネットバンキングにおいて、なりすましによる金銭の詐取が相次いだ。11月には、大手ネットショッピングサービスにおいて、なりすましによるものと思われる大規模な不正利用が発覚した。
IPAでは、不正利用された原因として(1)ウイルス感染、(2)フィッシング詐欺、(3)ID/パスワードの使い回し――の3つを挙げている(図)。
ウイルスの多くは、ユーザーが入力したパスワードなどを盗む機能を備えている。このためウイルスに感染すると、知らないうちにパスワードを盗まれて悪用される危険性がある。
フィッシング詐欺とは、有名な企業や組織をかたった偽メールや偽サイトでユーザーをだまし、個人情報などを盗むネット詐欺のこと。
典型的な手口は、偽サイトのURLを記載した偽メールを不特定多数に送信。実在するWebサイトのログインページなどに見せかけた偽サイトに誘導して、パスワードなどを入力させる。最近では、偽サイトに誘導する代わりに、ウイルスにパスワード入力画面を表示させる手口も増えている。
ID/パスワードの使い回しも危ない。複数のサービスで同じパスワードを使っていると、どこか1カ所から流出した場合、ほかのサービスも芋づる式に不正利用される恐れがある。
対策は、(1)ウイルス対策ソフトを利用したり、脆弱性を解消したりすることで、ウイルス感染の危険性を小さくする、(2)メール中のリンクや添付ファイルを安易に開かない、(3)パスワードを他人に教えない、(4)推測しにくいパスワードを利用する、(5)パスワードを適切に管理する――など。
Webサービスで利用しているクレジットカードの明細書を確認することも重要だ。万一、身に覚えのない請求があったら、すぐにクレジットカード会社とWebサービスの事業者に報告する。IPAでは、消費生活センターに相談することも勧めている。
