また｢楽天モバイル｣でハッキング､中高生が750万円を詐取｢未成年の犯罪助長するAI｣とは異なる本当の教訓…パスワードリスト攻撃への対策は？

アカウントを不正に入手したり、他人になりすましてログインすること、サーバーをハッキングして侵入することは、不正アクセス禁止法の違反となり刑事罰の対象となる。

高校生らは、この罪状で逮捕され、一部犯行を認める供述を行っている。動機については、「お金ほしさと、（ハッキング技術を）仲間に自慢したかった」からとしている。

3名のうちプログラムを作成した高校生以外の2名は中学生だった。高校生は岐阜県だが、残りの中学生は滋賀県と東京都の生徒だ。オンラインゲームの知り合いということで、通学している学校や地域とのつながりはなく、接点はゲームであり、連絡はテレグラムで行われていた。

テレグラムとは、秘匿性の高いメッセージアプリサービスのことだ。世界的に利用されている。

本件をその他の犯罪と同様に人物（犯人や被害者）に焦点を当てれば、たしかに冒頭に述べたような「中高生がサイバー犯罪か」「被害者が大企業」「AIを使えば誰でもハッキングができる」となるかもしれない。

ただ通常、専門家はこれらの表面的なキーワードにとらわれた分析は行わない。正しい分析のため、技術的な詳細や攻撃手法、あるいは攻撃背景や動機といったことに焦点を当てる。したがって、この事件をサイバー攻撃として見た場合、ID・パスワードリストを使った不正アクセスによるなりすましの犯罪であることがわかる。

だが、ここではあえてメディアが強調しがちなキーワードから、その背景や意味をセキュリティ視点で考えてみる。

パスワードリスト攻撃による不正アクセスとなりすまし

この事件にかかわる人物以外の主な要素は以下となるだろう。

これら事件の構成要素の背景を詳しく、順に見ていこう。

【ID・パスワードリスト】

現在、ダークウェブ（関連記事）内のアンダーグラウンドマーケットでは、クレジットカード番号や社会保障番号（日本でいうマイナンバー）といった各種の個人情報がリストや名簿として売買されている。その中には、盗まれたIDとパスワードをセットにしたデータもある。