連載
» 2019年11月26日 07時00分 公開

半径300メートルのIT:待望の新サービス、サイバー犯罪者にとっては「新しい標的」か? (1/2)

米国で始まった「Disney+」が、さっそくサイバー攻撃の標的にされています。もちろん一番悪いのは犯罪者なのですが、「攻撃を防げなかったのは誰だったのか」という視点で見ると……?

[宮田健,ITmedia]

 先日、米国で新しい動画配信サービス「Disney+」がスタートしました。「STAR WARS」やMARVELの新作が真っ先に公開されるということで、筆者も日本上陸をとても楽しみにしております。

 このサービスは米国内でも大きな反響を呼んでおり、初日の加入者が1000万人を超えたという報道がありました。注目されるサービスにつきものなのはサイバー攻撃。今回も、サービス開始直後にもかかわらず、加入者のIDとパスワードがダークWebで販売されていたことが明らかになっています。

「ディズニー+」の利用者情報が盗まれ売買に 数千人分 - BBCニュース

Disney+からさっそく「パスワード流出」 地下サイトで販売中 | Forbes JAPAN(フォーブス ジャパン)

 しかし、これらの記事のタイトルはだいぶ煽り気味の、誤解を生む可能性のあるものでした。「利用者情報が盗まれ」「パスワード流出」という文字が目を引きますが、本文にある通り、Disney+そのものが攻撃されたとは断定していません。それでは、販売されていたIDとパスワード情報の出どころは、どこだったのでしょうか?

原因は「使い回し」、では対処方法は?

 勘のいい方ならお気付きでしょう。おそらく犯罪者は、過去に他のサービスで漏えいした情報のうち、Disney+でも有効なものをまとめて販売しているのです。つまり、根本的な原因は、利用者側がパスワードを使い回している状況にあります。

 現在、大規模なデータ漏えいは毎日のように報道されています。しかし、その内容は「件数」だけでは判断できません。例えば数十億件のパスワード情報が漏えいしても、その情報が漏えい発覚時点で有効なのかは分からないのです。その一例は、先日インタビューした辻さんの講演でも触れられています。「日本の大企業を含む16億件のメールアドレスが流出した」うち、実際に有効だった割合はどのくらいだったのでしょうか。

“16億件データ漏えい報道”とは何だったのか 不安に踊らされる前に知るべき、過激な数字の「裏事情」

 サイバー犯罪者側は、ごっそり盗んだパスワード情報を(必要に応じて復号し)、IDと生パスワードのセットを作り出します。しかし、それが他のサービスでも有効かどうかは分かりません。中にはサービスごとにパスワードを設定しているユーザーもいるでしょう。そうなると、特定のサービスで有効性を確認済みのIDとパスワードのセットの方が高く売れるのです。

 Disney+加入者のIDとパスワードの組み合わせは1件につき3ドル以上で取引されているとのこと。サイバー犯罪の相場(?)からすれば高いそうですが、米国で注目されるサービスで有効性を確認済みであれば、納得のお値段なのでしょう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ