「リスト型アカウントハッキング」にご注意を！ ～ 社会人大学生通信（第２回）

前回「情報セキュリティの第一人者になる！～社会人大学生という選択肢」において、この4月から情報セキュリティ大学院大学に進学したＦさん（ＳＩ会社）のケースを、本人からの報告を交えてご紹介しました。今回、Ｆさんから新たな近況報告とともに、大学で学んだことの中から耳寄りな情報が届きましたのでご紹介します。

１．近況報告

大学に入学してあっという間に２ヶ月が過ぎました。様々な企業や官公庁から同じ目的を持って入学して来られた方々とも親しくなり、人脈の幅が大きく広がりました。

現在はBackTrack（擬似的にセキュリティにハッキングを仕掛けてシステムの耐久力テストするためのOS）を用いてクラッキング手法（悪意のあるハッカーがＩＤやパスワードを割り出す手口）を実際に体験し、その具体的な防御手法を学んでいます。

あわせて、システム監査やリスクマネジメントなど、企業活動に必要な管理手法についても学んでおり、お客様企業内に内包されるセキュリティに関する様々なお悩みや課題に対し、的確にお応えできるよう励んでいます。

２．リスト型アカウントハッキングについて

難しい専門用語ですので敬遠しがちですが、個人情報を盗み取ろうとする手口の上位を占めるもので、ハッキングされた企業の信用失墜に繋がる恐れがあります。もし、この企業のアカウントユーザーとして個人情報が登録されていた場合、私達自身も被害者になり得るものですから、用語はともかく内容だけでもこの機会にぜひご理解ください。

リスト型アカウントハッキングとは

 このリスト型アカウントハッキングとは、特定の企業や組織に対するサイバー攻撃などの不正手段により、アカウント情報（ユーザーIDとパスワード）を盗み出し、次にこれらを用いて様々なサービスやシステムに不正ログインを行い、個人情報の引き出しや本人になりすますなどの犯罪行為を言います。

リスト型アカウントハッキングの仕組みと事例

この犯罪行為が怖いのは不正取得した企業とはまったく関係無い、類似のアカウント体系やログイン構造を持ったサービスやシステムに対して不正ログインがなされることです。急速に発展したネット社会の現在、様々なサイトで会員登録する際に、覚えきれないなどの理由により、アカウント情報を使いまわしている人も多いのではないでしょうか。ここに、この行為者はつけ込むわけです。

実は私の友人が過去にこの被害にあいました。彼が参加していたオンラインゲーム関連のコミュニティサイトからアカウント情報が漏洩しましたが、彼はそこにフリーメールアドレスをＩＤとしてアカウント登録していました。そのため、本人になりすましたハッカーに簡単にそのメールシステムに不正ログインされ、メール履歴の中からオンラインゲームサイトのアカウントを盗まれてしまい、本人の知らない間にアイテムが盗まれ、現金化されてしまいました。

その他、漏洩したSNSアカウント情報による友人を装った電子マネーの窃取や、オンラインショッピングでの高額な商品購入など、数多くの事件が発生しています。

リスト型アカウントハッキングの被害に遭わないために

では、このような被害から身を守るためには私達自身がどのような対策を講じたらよいのでしょうか。答えは「絶対にアカウントの使いまわしをしない」「パスワードは定期的に変更する」ことです。また、個人情報等としてよく登録する内容（出身地や家族の名前など）を秘密の質問の答えとしてはいけません。不正取得された際に容易に推測されてしまうからです。

ＩＤやパスワードを覚えることが苦手な人は、便利なパスワード管理ソフトを活用するのも良いと思います。

みなさんも被害にあわないために、今一度、身の回りの会員登録内容の見直しをされることをお勧めします。