有料会員登録 東洋経済オンラインとは
ビジネス

【KDDIへのサイバー攻撃】狙われたのはKDDIでもISP事業者でもない…「メールアドレスとパスワード漏洩」の本当の怖さ

11分で読める
KDDI高輪本社
第二報で「ゼロデイ攻撃」であることがわかった(写真:photographorn / PIXTA)
2/6 PAGES
3/6 PAGES
4/6 PAGES
5/6 PAGES
6/6 PAGES

今回、仮に漏洩した約761万件のパスワードについて同程度の割合で使い回しがあったと仮定すると、約15万件もの認証情報が他サービスへのリスト型攻撃に悪用される可能性がある計算になる。

もちろん、これは理論的な試算であり、実際には各サービスの多要素認証や不正ログイン対策によって成功率は大きく変わる。しかし、「使い回し」が被害を連鎖させるという本質は変わらない。

今回のKDDIの事件で対象となった利用者は、まずメールパスワードを変更する必要がある。さらに重要なのは、そのパスワードを他のサービスでも利用していた場合、それらすべてのパスワードも変更することである。サービスごとに異なるパスワードを設定し、パスワード管理ソフトを利用することが望ましい。

また、多要素認証が利用できるサービスでは、必ず有効にしておきたい。たとえパスワードが漏洩しても、追加認証があれば不正ログインの多くは防ぐことができる。加えて、身に覚えのないログイン通知やクレジットカード利用通知には十分注意し、不審なメールやSMSから送られてくるリンクを不用意に開かないことも重要である。

情報漏洩は終わりではなく始まりである

情報漏洩事件というと、多くの人は「情報が漏れて終わり」と考えがちである。しかし、本当に恐ろしいのは、その後に始まる二次被害である。

漏洩した認証情報は、詐欺、不正ログイン、不正送金、クレジットカードの不正利用など、さまざまな犯罪の出発点となる。今回のKDDI事件は、一企業の問題ではない。メールという誰もが日常的に利用する社会基盤が狙われ、そこから数百万人規模の利用者へ影響が及ぶ時代になったことを示す象徴的な事件である。

私たち一人ひとりが「パスワードを使い回さない」「多要素認証を利用する」という基本的な対策を徹底することはもちろん重要である。しかし同時に、サービス提供者には、認証情報の安全な保管、SBOMを活用したソフトウェア管理、ゼロデイ攻撃を前提とした監視体制の強化など、より高度な対策が求められる。

サイバー攻撃は、もはや「誰かが狙われる」時代ではない。私たちの暮らしを支える共通基盤そのものが狙われ、その影響が利用者一人ひとりへ直接及ぶ時代に入ったのである。だからこそ、この事件を他人事としてではなく、自分自身の問題として受け止めることが、これからのサイバーセキュリティにおいて最も重要な第一歩なのである。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしています。

こちらの記事もおすすめ

あなたにおすすめ

ビジネス

人気記事 HOT

※過去1ヶ月以内に配信した記事の閲覧数