あらゆる個人情報を奪われたWIRED記者が犯した“痛恨のミス”半径300メートルのIT(1/2 ページ)

一見、強固に見える「本人確認」にもスキがある――。それを実感させられる事件が米国で起こりました。あらゆる個人情報をハッキングされたこの事件はどうして起こったのでしょうか。こうした事態を防ぐ方法はあるのでしょうか。

» 2016年07月26日 15時30分 公開
[宮田健ITmedia]

 先日、ちょっと興味深いブログ記事を読みました。

 海外でクレジットカード番号が流出した事件があり、コールセンターから「あなたの番号が流出した可能性がある」と電話がかかってきたというもので、そのときに「あなたの生年月日を教えてください」と聞かれたというのです。

 いきなりそんな電話がかかってきて生年月日を聞かれたら、皆さんはどうしますか? 実際にどう対応すべきか知りたい方は、カスペルスキーのブログ記事をご覧ください。

 しかし、あらためて考えてみると私たちは、対面ではなくネットや電話を経由した「あなたは誰ですか?」という問いかけに対して無防備な感があります。しかし、これは意外と重要なことであり、気を配らなくてはならない問題だと思っています。

ネットサービスの「本人確認」

 冒頭の本人確認の話は結論から言うと、銀行やクレジットカードなど、金融系をのぞく多くのネットサービスの本人確認は「メールアドレス」で行うケースがほとんどです。パスワードを忘れたとき、サービスに登録されているメールアドレスにパスワードリセットの案内が送られますよね。つまり、メールアドレスを持っていることが、本人確認の鍵になります。

 ちょっと手の込んだところだと、それに「生年月日」や「電話番号の下4桁」を加えてくるかもしれません。ただ、逆に考えると、これらの情報を手にした場合、ネット越しでは「本人」として認められる可能性があることが分かります。

 2012年、ちょっとした事件が起きました。アメリカのメディア、Wired.comの記者、マット・ホーナン氏がTwitter、Googleアカウント、Apple ID、アマゾンなどのアカウントを次々に乗っ取られたのです。これは、各社の「本人確認」の認識違いが引き起こした、とても複雑で“シンプル”なものでした。

 とあるサービスにおいて、本人確認で必要だったものは「請求先住所」と「クレジットカードの下四桁」。しかし、このクレジットカードの下四桁は、Webサービスによってはマスキングされていない場合も多いですよね。つまり、あるサービスで「本人確認のために必要な秘密の番号」は、別のサービスでは「公知の番号」として扱われることもあるのです。ハッカーは鮮やかな手段でこれを入手し、まんまと「本人」になりすましたというわけです。

 バラバラのパズルを組み立てるような感覚で、一見強固に見える「本人確認」の論理的バグを突く――。この手の攻撃があり得ることは、知っておいた方がいいかもしれません。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ