IIJでは広報誌「IIJ.news」を隔月で発行しています。本blogエントリは、IIJ.newsで連載しているコラム「インターネット・トリビア」と連動しています。
コラムの前半部分はIIJ.news vol.117(PDFで公開中)でご覧下さい。

パスワードが盗まれるとどんなことが起こるのか?

前半で紹介したような、パスワードリストの漏洩とおぼしき事件以外にも、様々な手段でパスワードが盗まれることがあります。もし、あなたのパスワードが漏れた場合、どのような影響が考えられるのか?少し考えてみましょう。

at ショッピングサイト

もっとも想像しやすいのは、ショッピングによる金銭的な被害です。サイトによってはクレジットカードなどの支払い情報をあらかじめ登録しておき、アカウントとパスワードだけで注文が行えるようになっています。このようなサイトであなたの知らないうちに注文が行われるかもしれません、実際に品物が配達されるショッピングサイトではなく、オンラインコンテンツのショッピングサイトなどは「足がつきにくい」場合もあります。

また、直接商品を注文するのではなく、たとえばオークションサイトなどで商品の値段をつり上げるための「サクラ」としてあなたのアカウントが使われる可能性もあります。反対に、出所が怪しい商品を出品するためにあなたのアカウントが隠れ蓑にされることも考えられ、こうなると金銭的な被害は無かったとしても、かなりやっかいなことに巻込まれる危険性が想像できます。

参考

Internet Infrastructure Review Vol.3 p.13 ID・パスワード管理に関する注意喚起

at オンラインゲーム

意外なところでは、オンラインゲームのアカウントも悪者に狙われることが多いと言われています。本来、オンラインゲームに搭乗するアイテムや通貨はゲーム内だけで流通するものです。しかし、不正な利用者により、ゲーム内のアイテムが現実世界の金銭で売買されるケースがあります。これはRMT(リアルマネートレード)と呼ばれ、ほとんどのゲームで禁止されていますが、残念ながら根絶には至っていません。

このようなアンダーグラウンドの市場で取引するために、他人のゲームアカウントを盗用して、そのキャラクターが持っているアイテムを奪い取るという事件が発生しています。正規の利用者がログインしてみると、文字通り「身ぐるみ剥がされた」キャラクターが表示され途方に暮れるという話です。ゲームの中の話だからと言って、笑い話で済ますわけにはいきません。

参考

情報処理推進機構:情報セキュリティ:安心相談窓口 よくある相談と回答(FAQ):オンラインゲーム

at SNS

また、SNSのアカウントも盗用されると危険性が高いものの一つです。この場合は、アカウントを登用された本人よりも、その周囲の方に被害が広がる可能性があります。アカウントを盗用した悪者が、そのアカウントの友人に金を無心するメッセージを送ったという話がありますが、これはまだ微笑ましい部類です。より危険なのは、アカウントの本人のふりをして友人や、会社の同僚・取引先に致命的なメールを送るケースです。悪者はあなたの信用を利用して、友人に危険なプログラムを実行させようとしたり、同僚から機密情報を聞き出したりするかもしれません。そうして得た手がかりを元に、さらにその友人知人に手を伸ばすことも想像できます。

参考

Internet Infrastructure Review Vol.14 p.21 標的型攻撃とその対応

at Webサイト

WebサイトのFTPパスワードや、blogサイトの管理用アカウントをのっとられることも、かなりの大事です。このような場合、そのWebサイトのコンテンツを改ざんされるだけでなく、マルウェアやフィッシングの偽サイトの置き場所として使われてしまうこと可能性があります。もし、あなたのWebサイトがそうした危険なファイルの置き場所になってしまった場合、あなたは被害者ではなく加害者として疑われる可能性すらあります。

参考

Internet Infrastructure Review Vol.4 p.13 ID・パスワード等を盗むマルウェアGumblar

今回はいくつか印象的な事例を取り上げてみました。これを読んでひやっとされたかた、パスワードの取り扱いを見直してみませんか?