コロナウィルスで自宅待機要請やリモートワーク・テレワーク推奨が浸透した現在、「Zoom飲み会」の流行、SHARP製マスクやNintendo Switch抽選販売でのアクセス集中による販売延期、SHARP製マスク当選メールを装ったフィッシング詐欺など、様々な変革とともに、それに伴う障害が私達の身の回りで起こっています。
アフターコロナの世界では、よりITを活用したリモートサービスが増えるであろう中、再度、パスワード管理など個人レベルでも情報セキュリティとの向き合い方を再考するキッカケになると感じました。
Content
「パスワード漏洩」という言葉、ネットニュースで聞くことはあっても、自分は一度も被害にあってないから、関係ない!
と思われる方も多いでしょう。
直近1ヶ月の事例を見る限りでも、驚くほどの件数が被害にあっています。
この記事では、2020年前半に起きたパスワード漏洩・パスワード流出の事例の中から、我々日本人に影響のありそうなものだけをご紹介していきます。
コロナウィルスによる自宅待機要請とともに流行している「Zoom」を活用した、リモートワーク・テレワークが急速に普及しています。
更には「Zoom飲み会」なるものもトレンド入りするなど、コロナウィルス流行に伴って、急速にアカウントを増やしたZoomだけに周囲でも被害者がいないか心配でなりません。
「Zoom」は潜在的な問題を抱えているようで、複数の危険性が報告されています。
- 53万件の個人情報がダークウェブに流出
- Windows版「Zoom」にパスワード漏洩の脆弱性
それぞれ解説していきます。
53万件の個人情報がダークウェブに流出
Zoomアカウントの個人情報(メールアドレス・パスワード・個人用ミーティングURLなど)がダークウェブで超格安で取引されているのをシンガポールのサイバーセキュリティ企業「Cyble」が報告しています。
参考:50万個超の「Zoom」アカウントがダークウェブで販売中–パスワードの使い回しは危険
Windows版「Zoom」に情報流出の脆弱性
Windows版「Zoom」で、パソコンの認証情報漏洩の脆弱性が発見されています。
ZoomのID/PWが流出したのとは少し違うのですが、Windows PCの情報が抜かれたり、遠隔でプログラムを実行されてしまう可能性があります。
そもそも、ダークウェブ上でハッキングされた53万件のアカウントが販売されてしまっているので、新たに脆弱性が発見されたところで何も驚きはないのですが…。
未だ、対策されていない方は、早急に対処をお願い致します。
任天堂が「ニンテンドー3DS」や「Wii U」で使用する「ニンテンドーネットワークID(以下、NNID)」において、約16万件の不正ログインがあったことを発表しました。
最大16万件が不正ログインされており、個人情報が漏洩した可能性があります。
NNIDへの不正ログインで、ニックネーム、生年月日、国/地域、メールアドレスが漏洩した可能性があります。
また、NNIDでは、クレジットカード情報とは漏洩していませんが、NNIDとニンテンドーアカウントで同じパスワードを使いまわしている場合には、登録クレジットカードやPayPalでの不正購入の可能性もある模様です。
不正ログインされた可能性のあるアカウントに対し、任天堂がパスワードリセットし、登録メールにパスワード再設定メールを送っているようです。
「ベネッセホールディングス」と「ソフトバンクグループ」の合弁会社が教育機関向けに提供しているITサービスで、生徒向け学習動画コンテンツの提供や先生と保護者とやり取りできるのが特徴的です。
日本全国には約4,800の高校がありますが、うち約2,800校が導入しているという驚異的なサービスです。
不正アクセスにより、約122万件のIDと暗号化されたパスワードが流出した可能性があります。
参考:サービス一時停止の調査報告とパスワード変更のお願い
この「Classi」の事例では、パスワードが暗号化されていたというのが唯一の救いで、実際に、IDとパスワードがセットで流出した訳ではありません。
そんなことありえないと思いますが、この暗号化を解読された場合には…。
「Zoom」でユーザー名・パスワードが流出の危険性があると解説しました。
実際にハッカーが既にユーザー情報を盗み出した場合、彼らはこのユーザー名・パスワードを利用して、金融機関・証券会社・仮想通貨取引所はもちろん、クレジットカード情報を登録しているECサイトなどへのログインを試行します。
これが、パスワードの使いまわしが絶対にダメな理由です。
仮に、ハッカーが「Zoom」のID/PWが盗み出したところで、ハッカーにとって「ZoomのID・パスワード」なんて、どうでも情報です。
彼らがほしいのはあなたの現金であり、クレジットカード情報です。
パスワードを使いまわしているユーザーのお金を狙っているという訳ですね。
様々なサービスが不正アクセスによりID・パスワード・メールアドレスなどが流出することは、我々利用者にはどうしようもありません。
各企業がサーバーセキュリティを高めるしか無いのが現状です。
流出・漏洩してしまうことに対しての防御策はありませんので、私達にできることは、万が一流出してしまっても、被害を最小限に留めること。
ZoomのID・パスワードが流出した場合、もし、他のサイトで同じID・パスワードを使っている場合、他のサイトもログインされてしまいます。
これを防ぐためには、すべてのWebサイトやサービスで、パスワードを完全に別のものにすること。
いやいや、無理でしょ。と思いがちですが、やるしかありません。
筆者がどうしているのか?セキュリティ会社の推奨方法はどうなのか?
次回の記事で、パスワード管理について、まとめていきたいと思います。
