#987 WOWOW WEB アカウントへの不正ログイン 注意呼びかけ

今回取り上げるニュースは、多くの人が利用している有料会員制のWebサービスにおける不正ログインについてです。普段、複数のサイトで同じIDやパスワードを使い回してしまっている方は少なくないでしょう。しかし、その習慣がどのようなリスクを招くのか、実際の被害事例を通して具体的に理解する必要があります。今回の事例では、外部から持ち込まれた情報を使ってログインを試みるという手口が確認されました。私たち利用者が自分の身を守るために、今日からすぐに実践すべき対策とは何か、このニュースを通じてしっかりとお伝えしていきます。

今回のインシデントについて詳しく解説します。12月25日、ある大手映像配信サービス企業が、顧客向けのWebアカウントに対して第三者からの不正ログインがあったと発表しました。原因として、自社から情報が漏洩したのではなく、外部で不正に取得されたIDとパスワードのリストを悪用して、総当たり的にログインを試みる攻撃が行われた可能性が高いとされています。同社が調査を行ったところ、一部の顧客のアカウントにおいて、契約者専用ページへのアクセスや、登録情報の変更が行われた形跡を確認しました。これにより、顧客の氏名や住所、電話番号、さらには契約プランや支払い履歴といった重要な個人情報が、第三者に閲覧された可能性があります。企業側はすでに対象となる顧客へ個別に連絡を取り、パスワードの変更を強く求めている状況です。

これはセキュリティ用語で「パスワードリスト攻撃」や「クレデンシャルスタッフィング」と呼ばれる手口です。攻撃者は、過去にどこかのWebサービスから漏洩したIDとパスワードのリストを入手します。そして、そのリストを使って、全く別のサービスである今回の映像配信サイトなどで、ログインできるかどうかを機械的に次々と試していくのです。もし利用者が複数のサービスで同じIDとパスワードを使い回していた場合、一つの場所で情報が漏れると、他のすべてのサービスにも不正侵入されてしまうという、非常に恐ろしい連鎖反応を引き起こします。

今回のケースでは、会員専用のマイページで確認できる広範囲な情報が対象となりました。具体的には、契約者の氏名、住所、電話番号といった基本情報に加え、どのようなプランに加入しているかという契約内容、さらには過去の支払い履歴も閲覧可能だったようです。また、クレジットカード情報に関しては、すべてが表示されるわけではありませんが、カード番号の一部や有効期限などが確認できる状態でした。これだけでも、その人がどのようなサービスを利用しているかというプライバシーが筒抜けになりますし、情報の変更機能を使われて勝手に解約や契約変更をされるリスクもありました。

通常こうした攻撃を受けた場合、システム側では不自然なアクセスの増加が検知されます。例えば、普段とは異なる大量のログイン試行が短時間に発生したり、特定の国や地域から集中してアクセスがあったりする場合です。また、ログインに成功したにもかかわらず、人間では不可能な速度でページを遷移したり、特定の情報だけを機械的に取得しようとする動きも監視対象となります。今回の企業も、こうしたログの分析を行い、正規の利用者ではない第三者がアクセスしている可能性が高い通信を特定し、調査につなげたものと考えられます。

パスワードを他とは異なる推測されにくいものに変更することは最優先ですが、それだけでは不十分な場合があります。攻撃者は一度ログインに成功すると、そのアカウントの信頼性を悪用して、さらに情報を引き出そうとすることがあります。そのため、登録しているメールアドレス宛に、そのサービスを装った不審なメールやSMSが届く可能性が高まります。「パスワードを再設定してください」という偽のメールを送りつけ、偽サイトに誘導して新しいパスワードやクレジットカード情報を盗み取るフィッシング詐欺にも十分な警戒が必要です。

企業側には、パスワードリスト攻撃を防ぐための技術的な対策強化が求められます。例えば、通常のIDとパスワードに加えて、スマートフォンに届く認証コードなどを入力させる「多要素認証」の導入は非常に有効です。また、ボットと呼ばれる自動化プログラムによる攻撃を防ぐために、ログイン画面に「私はロボットではありません」といったチェックボックスを設けるキャプチャ認証を導入することも一般的です。利用者の利便性とセキュリティのバランスを取りながら、不正アクセスを未然に防ぐ仕組み作りが、今後の重要な課題となるでしょう。