複数ネットサービスのIDを持つ人が注意すべきこと

　不正アクセスによるネットサービスの情報流出が相次いでいる。ソネットエンタテインメントは5月19日、第三者の“なりすまし”によるIDとパスワードを用いた不正なアクセスがあり、So-net会員がサービスの利用料金に基づき付与されている「ソネットポイント」の商品交換に関して、不正な利用があったと発表した。

　不正アクセスと不正交換が発生したのは、5月16～17日。ソネットエンタテインメントは18日17時に、複数のユーザーからの問い合わせと社内調査の結果により事態を把握した。同日、対応措置としてソネットポイントの交換を停止。19日に対象ユーザーにパスワード変更を要請している。不正アクセス試行による不正利用の対象ID数は以下のとおり。

• 特定IPアドレスからの不正アクセス試行回数：約1万回
• ソネットポイントの不正な交換に使用されたID数：128
• ソネットポイントの不正な閲覧に使用されたID数：73
• ソネットポイントにて不正な交換が行われたポイント数：10万5500ポイント（約10万円相当）
• ウェブメールの不正な閲覧に使用されたID数：90

　ソネットエンタテインメントによれば、情報流出の証跡は確認されていないという。またSo-netのユーザーID、パスワードを用いて会員の住所、氏名、生年月日、電話番号を第三者にみられた可能性を示す証跡も確認されていないという。ソネットエンタテインメントが実施するセキュリティ対策は以下のとおり。

1. 不正アクセス試行の予防／検知の強化：
   ・不正アクセス元IPアドレスからのアクセス遮断（5月18日、実施済）
   ・アクセス急増の監視強化（5月18日、実施済）
2. パスワード変更の促進：
   ・今回被害にあったユーザー以外にも、パスワードの変更方法についてSo-netサービスページでの啓発、および定期的なアナウンスを実施する。
   ・IDとパスワードを他サイトで使い回しする危険性について注意喚起し、メールアドレスとパスワードを登録する場合も異なるパスワードの設定を案内する。

4月から5月にかけて不正アクセスの話題が続く

　4月にはグループ会社のソニー・コンピュータエンタテインメント（SCE）が提供する「PlayStation Network（PSN）」と「Qriocity」で不正アクセスと、それにともなう個人情報流出が発生した。

　流出したと見られる個人情報は、「名前」「国と住所」「e-mailアドレス」「誕生日」「性別」「PSN/Qriocityのログインパスワード」「オンラインID」。また流出はないが、流出の可能性もある個人情報として、「過去の買い物履歴と請求先を含むプロフィールデータ」「PSN/Qriocityのログインパスワード」「クレジットカード番号（セキュリティコードを除く）と有効期限」があるとしている。対象となるアカウント数は全世界で約7700万件、そのうち日本におけるアカウント数は742万7038件。

　SCEは不正ログインや不正使用防止のため、アカウントに登録している情報の詳細や、クレジットカード引き落とし履歴などの定期的な確認をお願いとして告知した。また、インターネット上でPSN/Qriocityと同じユーザーIDや同じパスワードを使用している場合は、それらを変更するよう推奨した。5月中にPSNのサービスを全面再開することを目指している。

　5月19日、Yahoo! JAPAN IDに対して不正なログインが発生している可能性があるとの報道があったが、ヤフーはこれを否定した。

　ヤフーは、外部サービスの認証画面にYahoo! JAPAN IDとパスワードを入力した場合、それらの外部サービスのサーバを経由してYahoo! JAPANの認証機能へアクセスするため、ログイン履歴上に外部サービスが利用しているサーバ（サービスによっては海外サーバ）のIPアドレスが表示される場合があると説明している。外部サービスには、ブラウザでアクセスするウェブアプリや、iPhoneアプリ、Androidアプリなども含まれるという。

　これらを踏まえた上で、不審なIPアドレスが表示されていた場合には、Yahoo! JAPAN IDやパスワードの直接入力を求める外部サービスを利用していないか再確認することを勧めている。また、これらの条件に当てはまらない不審なログイン履歴が表示されている場合には、パスワードの変更を推奨している。

ユーザーはどのような点に気をつけるべきか

　一連のセキュリティ問題を受けて、インターネットユーザーはどのように自分のIDを管理すればいいのだろうか。カスペルスキーでチーフセキュリティエヴァンゲリストを務める前田典彦氏が以下のようなアドバイスをくれた。

　ネットサービスの利用者が、特に複数サービスを並行して利用している場合に注意するべきことは、各サービスに登録する情報の共通項を可能な限り減らすことだ。情報流出事故は各事案単発で起きているとしても、流出情報が裏市場に流れ犯罪者間で共有される場合が多い。

　登録情報に共通項が多いほど、1件の流出事故を発端として複数サービスの登録情報を悪用される危険性が増すからである。例えば同じID、パスワード、クレジットカードを使い回さない。メールアドレスをIDとして利用している（もしくはサービス仕様としてそうなっていることもある）人も要注意であるし、複数のIDを使い分けても、パスワードを同一にしている場合は危険である。非オンラインで日常的に使用しているクレジットカードを複数のオンラインサービスに登録することも薦められない。

　ただ、多くのID、パスワードを暗記することが不可能であるからといって、安易にブラウザにそれら情報を保存、記憶させることは絶対に控えるべきだ。保存情報を窃盗するマルウェアは非常に多い。対策の一例としてはID、パスワードを安全に管理するパスワードマネージャやパスワードウォレットと呼ばれる種類のソフトウェアの活用などが挙げられる。