ネット取引、パスワードの罠 ドコモやユニクロに被害

ネット取引、パスワードの罠 ドコモやユニクロに被害

ネット・IT
エレクトロニクス
2019/6/13 6:00 日本経済新聞 電子版
ファーストリテイリングのECサイトが不正侵入され約46万人分の顧客情報が流出した可能性がある
ファーストリテイリングECサイトが不正侵入され約46万人分の顧客情報が流出した可能性がある
ユニクロ」やNTTドコモなど大手企業の電子商取引(EC)サイトが、相次いで乗っ取り被害に遭っている。背景にあるのはパスワードの「罠(わな)」。手軽に本人確認できる一方で、ネット上には数十億件も流出し、犯罪者が容易に入手できる。ただし、多くの企業はシステム改修や顧客離れを懸念して、旧来の仕組みが温存されている。このままでは、被害拡大を食い止められない。
氏名や住所ばかりか、購入商品や体形まで犯罪者に筒抜けに――。ユニクロを運営するファーストリテイリングは5月、ネット通販サイトが不正侵入され、約46万人の顧客情報が閲覧された可能性があると公表した。犯罪者がIDとパスワードの組み合わせ(リスト)を複数用意し、手当たり次第に入力して不正にログインしたとみられる。「リスト型攻撃」と呼ばれる手口だ。
リスト型攻撃は頻発している。昨年、NTTドコモの通販サイトが被害を受けた。犯罪者が契約者を装い、米アップルの「iPhoneX(テン)」を約1千台(1億4千万円相当)不正購入した。受取場所としてコンビニエンスストアなどを指定し、契約者とは別人の何者かが持ち去った。
今後も同様の手口が続く可能性は高い。IDに使われるメールアドレスとパスワードの組み合わせが、ネット上に大量に流出しているためだ。

■流出、世界で27億件

セキュリティー会社のソリトンシステムズによると、世界全体で少なくとも27億件、日本関連だけでも2000万件が海外のファイル共有サイトで容易に入手できるという。多くのネット利用者は複数サービスでパスワードを使い回しているため、1つの組み合わせが判明すると、被害は芋づる式に拡大する。
このような状況では、犯罪者によるなりすましを防ぐのは困難だ。顧客に安心してサイトを利用してもらうには、「脱・パスワード」の対策が欠かせない。
ただし、多くのEC企業は抜本的な対策を打ち出せていない。不正侵入された顧客のパスワードをリセットして再設定を促したり、パスワードを使い回さないよう呼びかけたりする程度だ。
理由は2つある。まずはコスト。顧客のスマホを使って本人確認し、セキュリティーを高める「2段階認証」などを導入するには、システム改修が不可欠だ。作業自体は1カ月程度で済むことが多い。ただ、大規模サイトでは改修で不具合が起こらないかなどの調査に相応の期間を要するため、1000万円超のコストがかかると見られる。

■顧客離れ恐れる

もう1つは「顧客離れに対する懸念」(セキュリティー企業ラックの倉持浩明・最高技術責任者)。セキュリティーを強化すると、一般的にサイトの使い勝手は悪くなる。先行投資した結果、顧客が流出したら本末転倒だ。「投資対効果は判断できない」(大手ECサイトの幹部)。競合が得をするのを恐れて合理的な判断ができなくなる、「囚人のジレンマ」に陥っているわけだ。
だが、不作為はもう許されない。パスワードのみに依存しない仕組みが、相次ぎ登場しているからだ。ヤフーは昨年、指紋などのスマホの生体認証機能でログインできるようにした。文字のパスワードは不要で、仮にスマホが盗まれても悪用されにくい。米マイクロソフトは今年5月、パソコン用OS「ウィンドウズ」の顔認証機能を国際規格の「FIDO(ファイド)」に対応させた。
指紋や顔を使わなくても2段階認証を活用すれば、なりすましのリスクを大きく減らせる。NTTドコモは昨年の被害発覚後、この仕組みの利用を改めて呼びかけた。
一筋縄ではいかないのは事実だが、企業がシステム投資を怠ることで被害を受けるのは、顧客である消費者だ。パスワードだけに頼る仕組みを放置する企業は、遠からず立ち行かなくなる。

■定期変更、逆にリスク

パスワードの「罠」に直面するのは、EC企業だけではない。業務用の電子メールやオフィスソフトをクラウド経由で利用する企業も、注意が必要だ。ログインする際のパスワードを犯罪者に盗まれると、業務システムに不正侵入され、機密情報を奪われかねない。
多くの企業は対策として、従業員に対して定期的なパスワード変更を求めている。だがこの手法では、セキュリティーが向上しないことが明らかになってきた。安易なパスワードの利用が増えることで、かえってリスクが高まるという。
マイクロソフトは4月、「ウィンドウズ10」の最新版で「定期的なパスワード無効化ポリシー」を廃止すると公表した。同社のブログでは「パスワードの定期変更は古くさくて時代遅れ」とまで踏み込んだ。
国内では総務省が18年3月、パスワードの定期変更は不要とする見解を出した。にもかかわらず、運用を見直した企業は少ない。日本情報経済社会推進協会(JIPDEC)とITコンサルティング企業アイ・ティ・アール(東京・新宿)が19年1~2月に実施した調査によると、総務省の見解発表後も54.5%の企業が定期変更を続けている。対策を進めるには、パスワードに対する企業の意識変革が急務だ。(島津忠承北郷達郎)