安易なID/パスワードがサイバー犯罪を招く
【事例1】マイレージカードのサイトを不正利用
逮捕までの約2年間、犯人は被害者のマイレージポイントを自分の通販サイトで利用できるポイントに変換して商品を購入していました。その額66万円。被害者と面識があった犯人は、住所や生年月日からID/パスワードを推測し、マイレージ会員番号を巧みに入手したうえで、被害者のオンラインサービスにログインしていたのです。事件は、犯人が自分の利用しやすいようにID/パスワードの設定を変更したことから、被害者が自分のサイトにログインできないことに気づき発覚しました。
【POINT】ID/パスワードの入力桁数が4桁の場合、最も高い確率で「誕生日」が使用されています。今回のケースでは、マイレージサービスを提供している会社が被害を負担したとのことですが、ユーザーアカウント認証に関するトラブルでは、自己管理にかかわるとして、ユーザーが責任を負うサービスも数多く存在します。ユーザーアカウントの管理は、ID/パスワードを強化するなど不正利用に遭わないよう自ら対策を施す必要があります。
【事例2】パスワードクラッキングによるPCの悪用未遂
ある企業でPCのユーザーアカウントが解読されました。サイバー犯罪者は、そのPCのユーザーIDとパスワードを解読し、遠隔操作できるプログラムと外部のPCが攻撃できるツールをシステムに仕込みました。その時点では、まだシステム管理ユーザーのID/パスワードは奪われていませんでしたが、管理権限を奪うためのツールも併せて導入されていました。外部への直接的な被害は公開されていませんが、もし乗っ取られたPCが外部PCを攻撃し、その標的となったシステムが停止してしまっていたら、業務停止による被害は甚大なものになっていたでしょう。当然、違法なアクセスとして訴訟問題になる可能性もあります。
【POINT】このケースは、企業のPCがサイバー犯罪者によりリモートでID/パスワードが解読され、被害者自身が攻撃者であることを分からないようにプログラムを仕込まれたものです。企業なら、ネットワークを使ったサイバー攻撃から自社を守るための対策を講じているケースが多く早急な対処も可能ですが、個人ユーザーが狙われた場合はどうでしょう。多くのユーザーは自分が攻撃を受けていることすら気づかないケースが大半であると推測されます。安易なID/パスワードは攻撃者の格好の餌食となり、被害者でありながら加害者にもなる危険性をはらんでいるのです。