元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。アイティメディアのONETOPIでは「ディズニー」や「博物館/美術館」などのキュレーターをこなしつつ、自分の生活を変える新しいデジタルガジェットを求め日々試行錯誤中。
また大規模な情報漏えい事件が発生しました(NTT Comのサーバに不正アクセス、Webアプリの脆弱性を突かれた可能性(参考記事))。
今回の漏えい規模は約400万件とけた違いに多いのですが、もう慣れっこになってしまった感もあります。今回はメールアドレス(OCN ID)とハッシュ化されたパスワード(※)の漏えいです。ハッシュ化されたパスワードから元のパスワードを見つけ出すには時間がかかりますから、すぐに何らかの被害が発生するということではありません(何か悪さをされる前にパスワードを変えましょう)。
今回、私がお伝えしたいのはOCN IDのようなさまざまなサービスで使える「マスターID」とそのパスワードが漏えいしてしまった場合、どうなってしまうのか、という点です。
例えば、OCNが提供するサービスの1つに「OCN家計簿」というものがあります。いわゆるアカウントアグリゲーションサービス(口座情報集約サービス)と呼ばれるもので、金融機関やクレジットカード、公共料金などのWebサイトから情報を取り出し、収支を一括して管理することが可能です。確かに、各種Webサイトには通帳やカード使用履歴がありますので、これをまとめれば収支が分かり、家計簿代わりになりますね。
では、どのようにして金融機関などの情報にアクセスするのでしょうか。実は、アカウントアグリゲーションサービスでは、金融機関のログインIDおよびパスワードなど、ログインに必要な情報をあらかじめ登録しておく必要があります。さらに、OCN家計簿では登録したコンテンツパートナーサイト(金融機関やカード会社など)へはオートログインが可能(参照リンク)という機能があります。
非常に便利に見えるのですが、そのリスクの高さにお気づきでしょうか。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング