こんばんは。もたりです。
イオンのクレジットカード会員向けのインターネットサイトが不正アクセスを受けて、これまでに約2,200万円の被害が発生しているとのことです。
今回の手口は「リスト型攻撃」と呼ばれているもので、いわゆる「他のサイトから流出したID/パスワード情報」による不正アクセスで、イオンがとばっちりを受けた形です。
ちょっとイオン気の毒です。
リスト型攻撃とは?
「リスト型攻撃」というのは、
悪意を持った攻撃者が、他のインターネットサービスサイト等から何らかの手段で入手したIDとパスワードのリストを使って、ログイン機能を持つ別のインターネットサービスサイトにログインを試みる攻撃手法のことです。
出典:IPA 情報処理推進機構
例えば(あくまでも例えです)、
昨年、Facebookで5,000万人分を超える個人情報流出事件がありましたが、
そのID/パスワードリストを手にした悪意を持った攻撃者が、
というような攻撃を行うことです。
運悪くログイン(なりすましログイン)されてしまうと、そこに設定登録してある情報が全て丸見えになるので、サイトによってはクレジットカードの情報等をゴソっと持っていかれてしまう事になるでしょう。。
こういった事から、[複数のインターネットサービスサイトで同じID/同じパスワードを使いまわさない!]ようにIPAから呼びかけが行われています。
またまた例えば(あくまでも例えば)ですが、
Amazonと楽天市場はIDの形式が同じ(IDとしてメールアドレスが使用可)です。
両方のサイトに同じID(メールアドレス)とパスワードでアカウント登録をされている方は、どちらか一方のID(メールアドレス)またはパスワードだけでも変更した方が良いでしょう。
今年の1月に7~8億のメールアドレスが流出
ご存知の方もいらっしゃると思いますが、2019年1月、
史上最大規模の8億近いメールアドレスと2,000万件以上のパスワードが流出した(ハッカーが流出させた)という報道がありました。
さてそうなると、
自分が日頃使っているメールアドレスは大丈夫なの?
既にハッカーにより盗まれている(流出している)んじゃないの??
というのを調べるサイトがありますので、一度確認しておいた方が良いでしょう。
セキュリティ専門家のトロイ・ハント氏が運営しているWebサイト、
「Have I Been Pwned?」←Webサイトへのリンク貼っています
でメールアドレスの流出状況を確認することができます。
それでは、私がいつも使用しているメールアドレスで試してみます。
まず1つめ、情報収集に使っているYahooのフリーメールアドレスで・・・
はい、NG!!(流出済みです・・・)
メールアドレスの下に「Oh no - pwned!」と表示されましたが、これが表示されるということは残念ながら流出している(ハッカーの間で共有されている)メールアドレスということです。
かなり前ではありますが、Yahoo!から、
「ごめーん、君のメールアドレス流出させちゃった。500円クーポンあげるから許して、テヘ♪」というお知らせが着ていたので、そんなこったろうとは思っていました。
このメールアドレス宛てのスパムメールや詐欺勧誘メールがやたら多いですし、この結果は当然かなとも思います。
ということで、このYahooメールアドレスはインターネットサービスのアカウントとしては使えません。(故に詐欺メール分析等の情報収集だけに利用中)
ではもう1つ、仕事で使っているgmailを・・・
こちらはセーフ!
メールアドレスの下に「Good news - no pwnage found!」と表示されれば、このメールアドレスは流出していないということになります。
くどいですが、大事なメールアドレスについては是非一度お確かめください。。
まとめです
それでは最後に、
「リスト型攻撃」から身を守るには?ということで私から言いたい事は2つ。
- 複数のインターネットサイトで同じID/同じパスワードを使いまわさない
- 流出していると思われるメールアドレスの利用は控える(アカウントのIDとして使用してはいけない)
長々と失礼しました。
それではまた。
