また｢楽天モバイル｣でハッキング､中高生が750万円を詐取｢未成年の犯罪助長するAI｣とは異なる本当の教訓…パスワードリスト攻撃への対策は？

しかし、質問の仕方を「自動的にログインするプログラムの作り方」「データを暗号化するコードの生成」といった工夫をすればすぐに動作するプログラムコードを生成してくれることもある。

上記の例は、URLやID・パスワードを指定したファイルから読み込んで、指定したサイトにログインを行う。リストが何千行、何万行とある場合の処理、一定時間に連続して繰り返さないようにする処理などは書かれていない。それらを別々に生成して自分で組み合わせて1つのプログラムにする必要はある。

ある程度のスキルや知識は必要だが、確かに生成AIを利用すれば、中高生でも好きなプログラムを作ることができる。その意味で、サイバー犯罪のハードルが下がっていると言うことはできるかもしれない。

だが、本当の問題はそこではない。ツールを使えば犯罪が可能だ、というのは「包丁を使えば子供でも殺人ができる」と言っているのと同じだ。中高生がAIを使ってサイバー犯罪を犯したのだから、AIを規制せよ、中高生には禁止せよ、と論点をそこに持っていくと、対症療法にはなるが、問題の解決にはならない。

サイバー犯罪者がAIを使う、プログラムを駆使するのは当たり前のことであり、残念ながら彼らへの働きかけで効果が期待できるものは多くない。教育や罰則による抑止など、別のアプローチが必要な部分だ。

2要素認証の設定とパスワードの使いまわしをやめる

この件での教訓や対策として、まず述べておきたいのは、2要素認証（2段階認証も同じ）を有効にする、決済やログイン通知などの設定、パスワードの使いまわしをやめる、の2つを徹底することだ。

次に、モバイル通信事業者には、回線契約の手順やフローの見直し、再点検を促したい。

2要素認証の設定は、ログインや決済に関する通知設定がセットになっていることが多い。これらはなりすまし、不正ログインの障害になる。正規ユーザーに身に覚えのない操作を知らせてくれる効果がある。

覚えやすいからと同じパスワードを複数のサービスで利用していると、どこかのサイトでその情報が漏れたとき（リストが出回ったとき）、今回のような攻撃で関係ないサービスへの不正侵入を許してしまう。

パスワードマネージャーやブラウザのパスワード管理機能、認証アプリなどを使って同じパスワードを使わないようにしたい。

サイト運営者や事業者も、2要素認証や通知のフローを取引や画面遷移に組み込み、本人確認や契約変更のような処理時になりすましを防ぐ機能や手順を随時見直していく必要がある。

犯罪者ではなく、被害者であるユーザーや事業者への提言となり恐縮だが、セキュリティ対策は防御側で、どうしても受け身になる。各自の備えが欠かせない。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、中尾 真二さんの最新記事をメールでお知らせします。