セキュリティ通信トップ> 生活に及ぶ危険　ネットオークション編：なりすまし ネットオークション編 １．「なりすまし」とは ２．IDやパスワードはどうやって盗まれるのか ３．なりすまし対策 インターネットバンキングに久しぶりにログインしてみたら、覚えのない送金操作が行われて残高が減っていた・・・。 会員登録しているショッピングサイトから、覚えのない商品の購入確認メールが届いた・・・。 インターネットオークションに参加したところ、自分の評価がいつの間にか下がってしまっていた・・・。 自分のメールが誰かに見られているような気がする・・・。 ちょっと怖い話ですが、上記のような経験をした方がいるとしたら、それはまさしく「なりすまし」の被害にあっているのです。 「なりすまし」とは、他人のIDやパスワードを手に入れ、その本人のふりをしてネットワーク上で活動する行為を指します。本人には無断で、そのID・パスワードを使って他人のインターネットリソースにアクセスするわけですから、まさに不正アクセス禁止法にいう不正アクセスであり、犯罪行為になります。 なりすまされてしまうと、口座から勝手にお金を引き出されてしまったり、本来は自分しか扱うことができない重要データをダウンロードされたり、さらには、会員制の掲示板で自分の名前で他人を誹謗・中傷し信用を落とされたりと大きな損害を被ることになります。もちろん、冒頭で紹介したような事態になってしまう可能性も十分にあります。 本来は、なりすましを行った人間が悪いわけですが、パスワードを盗まれた原因が、あとで述べるような本人のパスワード管理に問題がある場合などは、なりすまされた本人がすべての損害をかぶらなければならないことにもなりかねません。 なりすましには、他人のIDやパスワードを知ることが不可欠です。でも、どうやって知っているのでしょうか。代表的な手口を紹介しておきましょう。 ●パソコンにキーロガーを仕掛ける 「キーロガー」とは、キーボードの操作をそっくり記録してしまうソフトです。このツールを、ターゲットとなる人のパソコンや、不特定多数の人間が出入りするネットカフェのパソコンに仕掛けるのです。パスワードをSSLなどで暗号化して通信していても、キーボードの操作をすべて記録すれば、そこで入力した、つまり使ったIDやパスワードも簡単に知ることができます。 実際に、ネットカフェのパソコンにキーロガーをしかけ、そこで操作された銀行振り込み情報の記録などを利用して、5人の銀行口座から1600万円を引き出したという事例もあります。 ●生年月日を調べる 生年月日をパスワードにしている人は意外と多く、IDさえ分かってしまえば簡単になりすますことができてしまいます。主に身近にいる人間に通用する手口です。 身近にいる人間がなりすましなどするか、と思われるかもしれませんが、恋人や友人、知人、同僚が犯人だったという事例は結構多いのです。動機の大半は、誤解や恨み、仕事上のトラブル、いたずら半分といったところで、加害者意識はかなり低いといわれています。 ●直に入手する いわゆる、ソーシャルエンジニアリングという手法を使います。これは、ネットワーク管理者や個人ユーザーなどから、盗み聞きや盗み見、声をかけるといった「社会的」な手段で、パスワードなどの重要情報を入手することを指します。 ありがちな例としては、知り合いからパソコンの設定作業などを頼まれ、そのときにIDやパスワードを聞き出すといった手口です。このケースは、友人や恋人などが加害者になる場合に多いようです。 また、モニタの脇にパスワードを書いた付箋紙を貼っている光景を目にすることがありますが、こういったところはいいカモということになります。さらに最近では、フィッシング詐欺によって個人情報などの入力を必要とする偽のサイト（多くは銀行やクレジットカード会社）に誘導され、IDやパスワードを取られてしまうという可能性もあるということを忘れてはなりません。 ●パスワードクラック 専用ツールなどを利用して、総当たり攻撃（ブルートフォース攻撃）という方法を用いることがあります。これはパスワードと思われる文字列を片っ端から入力してパスワードを探り出すという方法です。人名や意味のある単語などをパスワードに使っていると、簡単に解析されてしまう危険性があります。 一度被害にあうと、その損害は甚大なものになりかねないなりすましですが、この被害にあわないようにするにはどのような対策を立てればいいでしょうか。 答えは簡単です。IDやパスワードの徹底管理に他なりません。 ・ ネットカフェのような不特定多数の人間が出入りする場所でIDやパスワードを入力する場合には、「IDやパスワードは盗まれるもの」と考えておく。つまり、自分が絶対に知られたくないものは、そういう場所で入力しない。 ・ 身近な人間だからといってIDやパスワードを教えない。 ・ 生年月日やペットの名前といった推測しやすい言葉をパスワードにしない。また、パスワードの作成にあたっては、辞書に載っているような単語や人名は避け、英数字の大文字小文字を組み合わせて8文字以上の長さになるよう気をつける。 安全なパスワードとは？ ・ メールの送受信用やプロバイダの接続認証用のパスワードは定期的に変更する。 ・ IDやパスワードを目立つところに貼り出したりしない（できるだけ記録することを避ける）。 ・ IDやパスワードを送信する場合には、SSLを使って情報が暗号化されていることを確認する。通常、SSLがかかっていれば、プラウザの右下に鍵や錠のアイコンが表示される。 また、不用意に掲示板などで本名などの個人情報を公開しないよう気をつけましょう。 パスワードの徹底管理というのは、基本中の基本といえることですが、日常に慣れてしまうと意外とおろそかになっているものです。是非、再確認してみてください。 メール編 Web閲覧編 P2Pツール編 ケータイのウイルス対策 Windows SP2のセキュリティ機能 オンラインショップ編 ネットオークション編 掲示板・チャット編 オンラインバンキング編 架空請求 安全なパスワードとは？ 無線LANの安全な使い方 フィッシング詐欺に注意！ IDとパスワードのセキュリティ 加害者にならないために 親子で学ぶセキュリティ ネット関連法制度の解説 用語集 記事一覧 安全なパスワードとは？ 一般的な脆弱性 いやがらせ ウイルス Win SP2のセキュリティ機能 架空請求 危険なサイト 危険なプログラム 起訴の可能性 クッキー XSS ケータイのウイルス対策 個人情報 個人情報保護法 コンテンツフィルタリング スパム チェーンメール 著作権 データのアップロード データのダウンロード 盗品・詐欺 なりすまし ネチケット フィッシング 不正アクセス禁止法 ブラクラ 無線LANの安全な使い方 メールボム ユーザー管理 ワーム ●あなたのPCは大丈夫？ 　 無料でウイルス検診>> ●自動更新にすれば安心。 　 Windows Update>> ●被害を防ぐ基礎の基礎 　 アプリケーションの安全設定>>     So-netは安心のプロバイダーです。

Copyright 2007 So-net Entertainment Corporation