各種Webサービスのアカウントへの攻撃はとどまるところを知らない。ITproでも「『iCloud』にハッキング攻撃か、セレブのプライベート画像が多数流出」「組織の窓口狙い多重攻撃、相手の反応を読み手口を巧妙化」「『サイバー闇市場』は数千億円規模、サイバー攻撃のSaaSも用意」などといったニュースを掲載している。
記事によると、プライベート画像が多数流出した件は、米アップルのサービスにあった脆弱性を利用した比較的単純な手口で漏れたようだ。セキュリティ対策ベンダーである米ファイア・アイは「2要素認証を有効にしていたら防止できたかもしれない」とのコメントを出している。
アカウントに対する攻撃が広がり、手口が多様化する一方で、Webサービスやアプリを提供する各社は認証方式を変更したり強化したりしている。認証強化は、利用の簡便さと引き換えになることが多いが、何かが漏れてからでは遅い。常用しているサービスでは、パスワードを変更したり認証方式を見直したりといった当たり前の対策をするようにしたい。
同時に、使わず放置しているサービスがあったら、アカウントを閉じた方がいい。そのサービスが攻撃を受けてパスワードを含むアカウント情報が漏れ、別のサービスへの攻撃に使われる恐れがあるからだ。パスワードの使い回しは良くないと分かっていても、これだけ多くのサービスがある現在では、一切使い回しをしていない人はそれほど多くないだろう。
難しいのは、サービスそのものがセキュリティ上の「穴」を抱えている可能性を捨てきれないことだ。
個人的な体験としては、LINEアカウントへの攻撃がある。つい最近、スマートフォンのLINEアプリに「LINEウェブストアにログインしました」との通知が立て続けにあった。通知に表示されているIPアドレスを調べたところ、アクセス元はベネズエラ。全く身に覚えがなかった。そもそも、LINEのストアにアクセスしたことはなかった。
直後に、自分でもLINEのストアにアクセスしたところ同様に「ログインしました」と出た。一度ログアウトし、わざとパスワードを間違えると「ログインできませんでした」と表示されたので、先の身に覚えのないアクセスはログインに成功していたことが分かった。
すぐにパスワードを変更。その後もブラジルなど2カ所からログイン試行があり、それらはログインに失敗していた。怖かったのは、このLINEアカウントのパスワードは辞書で類推できるようなものではなく、ほかで使った覚えがなかったことだ。
そのときはLINEのシステムに何か問題があるのではないかと思った。ただ、パスワード変更後の攻撃は弾かれているし、パスワードの使い回しについて自分の記憶違いだった可能性も残ってはいる。攻撃者がどこかで入手した私の別のパスワードを改変してログインを試行したのかもしれない。自分が使っていたサービスでパスワードを含むアカウント情報が漏れたという話は耳にしていなかったものの、全てのセキュリティ事故が公表されるわけではないだろうから、真相は分からない。
LINEはともかくとしても、毎日のように新しいWebサービスやアプリが登場している現状では、セキュリティ面で作りの甘いものがあってもおかしくない。「新サービスやアプリは3カ月は様子を見る」「保存する画像やデータを漏洩時の『致命度』で分けてサービスを使い分ける」「そもそも余計なサービスは使わない」など、自分なりのポリシーを明確にすることが重要だ。
