その漏えいしたID、自分の「お金」に直結していませんか?半径300メートルのIT(1/2 ページ)

» 2013年07月25日 12時00分 公開
[宮田健,Business Media 誠]

著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。アイティメディアのONETOPIでは「ディズニー」や「博物館/美術館」などのキュレーターをこなしつつ、自分の生活を変える新しいデジタルガジェットを求め日々試行錯誤中。


 また大規模な情報漏えい事件が発生しました(NTT Comのサーバに不正アクセス、Webアプリの脆弱性を突かれた可能性(参考記事))。

 今回の漏えい規模は約400万件とけた違いに多いのですが、もう慣れっこになってしまった感もあります。今回はメールアドレス(OCN ID)とハッシュ化されたパスワード(※)の漏えいです。ハッシュ化されたパスワードから元のパスワードを見つけ出すには時間がかかりますから、すぐに何らかの被害が発生するということではありません(何か悪さをされる前にパスワードを変えましょう)。

 今回、私がお伝えしたいのはOCN IDのようなさまざまなサービスで使える「マスターID」とそのパスワードが漏えいしてしまった場合、どうなってしまうのか、という点です。

※ハッシュ化されたパスワード:文字列や数値から固定長の疑似乱数を生み出すハッシュ関数を使って暗号化したパスワードの要約のこと。この要約からは元のパスワードに戻せないのが特徴。実際のサービスでは、ユーザーが入力したパスワードから要約を毎回作成し、それがサーバに保存されている要約と一致するか否かをチェックしていることが多い。

OCNが提供する「OCN家計簿」

 例えば、OCNが提供するサービスの1つに「OCN家計簿」というものがあります。いわゆるアカウントアグリゲーションサービス(口座情報集約サービス)と呼ばれるもので、金融機関やクレジットカード、公共料金などのWebサイトから情報を取り出し、収支を一括して管理することが可能です。確かに、各種Webサイトには通帳やカード使用履歴がありますので、これをまとめれば収支が分かり、家計簿代わりになりますね。

OCN家計簿 OCN家計簿

 では、どのようにして金融機関などの情報にアクセスするのでしょうか。実は、アカウントアグリゲーションサービスでは、金融機関のログインIDおよびパスワードなど、ログインに必要な情報をあらかじめ登録しておく必要があります。さらに、OCN家計簿では登録したコンテンツパートナーサイト(金融機関やカード会社など)へはオートログインが可能(参照リンク)という機能があります。

 非常に便利に見えるのですが、そのリスクの高さにお気づきでしょうか。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.