頻発するネット情報流出､あなたは大丈夫？ 2014年は臨界点を超えた年だった

むしろ、2014年を通して一貫したトレンドとしては、LINEのID乗っ取り事件に見られるようなID・パスワード流出事件の方が、“現在”の状況を言 い当てているのではないだろうか。JALのマイレージWebサイト、JR東日本のSuicaポイントクラブへの不正アクセスなど、不正アクセスやID盗難 の問題は繰り返し発生しており、LINEのID乗っ取りは現在も断続的に続いている。

LINEのID乗っ取り事件は、同社のセキュリティ設計ポリシーが特別に弱いから、というわけではない。社会に対する影響（利用者側から観た印象）が大きかったからこそ、LINEのIDが話題になっているのであって、他システムでも同様のリスクが存在していることは意識しておかねばならない。

総務省の統計によると、2013年の時点で20代のソーシャルメディア利用率は90％、30代も80％を越えており、その大多数がLINEのIDを保有しているとみられる。そうした影響力の大きさだけに注目して、“LINEだけ”を主語にしてしまうと、問題を見誤る。

実際、昨年はYahoo! JAPANのID流出事件があり、今年6月にはドワンゴ（現KADOKAWA）のニコニコ動画IDも流出した。それぞれの流出ケースは、経路や手法が類似しているとみられる。

IDとパスワードのデータは、たとえサーバに侵入しても、簡単に盗めるものではない。たとえリストを取得できたとしても、パスワードデータは暗号化されており、LINEが適切な暗号処理を施していれば、そのまま転用することはできない。

ID乗っ取りはまだまだ続く？

では、なぜID流出、乗っ取りがこれほど多くなっているのだろうか。その背景にあるのが、IDとパスワードを用いたサービスの増加だと言われている。

小さなベンチャーが運営するサービスや、ネット連動するちょっとしたハードウエア製品。さまざまなところでIDとパスワードが用いられ、製品サポートを受けるための会員登録をすると、そこでもIDとパスワードが求められる。

大多数は適切なシステム設計が行われているはずだが、中には平文（暗号化されていないデータ）でパスワードを扱っていたことが、データ流出後の調査で判明することもあるという。IDとパスワードを扱う企業が増え、消費者が接する機会が増えたことで、自然とIDとパスワードを流出させてもおかしくない杜撰なサービスとの接点を増加させている。その結果、パスワードリストが発生しやすくなっているのだろう。

たとえば、ニコニコ動画のID流出時にドワンゴは、流出した21万9926アカウントに対する不正ログイン試行が220万3590回もあったことを発表している。すなわち、10回に1回の率で不正アクセスが成功していることになる。

完全な形でIDとパスワードのリストが流出しているのであれば、この率は低すぎる。一方で、単純なパスワード生成プログラムであれば当たりすぎだ。すなわち、前述したような杜撰なIDとパスワードの管理を行っているサービスからリストを盗み、メールアドレスとのマッチングでいくつかのパスワードをチャレンジしているのではと予想される。

いくつかのサービスでIDとパスワード照合が取っていけば、より精度の高いパスワードリストができあがる。当初は突破できてもあまり目立った行動をせず、パスワードリストの精度を高めてから、本命サービスのクラッキングに乗り出せば確度は上がるはずだ。