第44回 SNS上の公開している個人情報に注意、不正アクセスの一因になっています
情報セキュリティ連載
第44回 SNS上の公開している個人情報に注意、不正アクセスの一因になっています

4月上旬「Facebookから5億件を超える個人情報が流出」というニュースが流れました。さらに音声版Twitter「クラブハウス」、ビジネス特化型ソーシャルメディアネットワーク(以下「SNS」)「リンクトイン」からも個人情報が流出したニュースが流れました。
収集されたのは公開されている情報で、収集方法は自動収集するプログラム「Webスクレイピング」という技術で収集されたとのことです。
公開されている情報を収集して何に利用されているのでしょうか。
1 Webスクレイピングとは
情報を取得したいサイトの公開されている特定の情報、氏名、メールアドレス、生年月日等など特定の情報を収集、リスト化させることで、このプログラム自体はすでに存在しており特に違法とされているプログラムではありません(ただし、収集される側のサイトがスクレイピング行為を禁止している場合は別です)。
2 取得された公開情報はSNS等の不正ログインのIDに使用
スクレイピングで得られた情報は各SNSサイトの不正ログインに使用されている可能性が高いとのことです。
仮にメールアドレスが判明したとしてもパスワードがわからなければ不正ログインされることはないと思います。
しかしながら、スクレイピングで得たメールアドレスとパスワードの総当りでのログインを試みることでログインを可能にしています。
3 一般的な不正ログイン防止機能
SNS等WebサービスはユーザーIDとパスワードという組み合わせでログイン、不正ログイン防止機能として、パスワードを複数回間違えた場合ロックがかかるというのが一般的です。
この不正ログイン防止機能はユーザーIDに対して複数回のパスワード間違いでロックがかかるというシステムです。
逆に特定のパスワードに対して複数のユーザーIDを総当りでログインを試みる場合上記の不正ログイン防止機能は効きません。
仮に4桁の数字パスワードの場合、1万通りのパスワードしかありません。
実際のSNSサイトで使用されているメールアドレスが判明している場合、特定のパスワードを基本にユーザーIDを総当りでログインを試みればログインできてしまうアカウントが出てきます。この攻撃をリバースブルートフォース攻撃と言います。
4 パスワードには一定の法則が存在
また、ある不正ログイン調査報告によると使われているパスワードの組み合わせとして、123456、passwordのような単純なものから、キーボードの特定の一列、社員コードと名前、生年月日と名前、企業や団体特有のコード配列が使用されているケースが予想以上に多く使われているとのことです。
このことから使われているパスワードのヒントがスクレイピングされた情報に入っている可能性も高くそこからリバースブルートフォース攻撃に使用されている可能性は高いようです。
5 パスワード管理に限界も
パスワードが比較的単純になる原因として1人が複数のパスワードを管理する必要があるためです。
インターネットサービスがプライベート・仕事に関わらず多くなってきているため必然的に使用するパスワードが増えており、管理しきれずに一定のパスワードを使ってしまう現状が多いと思います。
Facebookをはじめとする実名制SNSがある以上、個人のメールアドレス等の情報は収集しやすい状況です。
個人情報を一般公開していなくとも、SNSの友人がこのリバースブルートフォース攻撃により不正ログインされそこからまた情報をスクレイピングされるケースも多くあるようです。
6 スクレイピング、リバースブルートフォース攻撃の対策
複数のSNSサービスやWebサービスを使うことが必然とされる現在において、複雑なパスワード管理は難しいでしょう。
手帳などに記載したものは置き忘れや紛失、キーボードの裏に貼ったメモ等は誰にでも見えてしまうなど、逆にパスワード流出の危険性が高まり、サービス利用の弊害が大きくなってしまいます。
まとめ

やはり有効な不正ログイン対策としては各SNSサービスが提供している二段階認証を有効にすることが挙げられます。二段階認証のバックアップキーの保存をしておけば認証に使っているスマートフォンを紛失したりしても二段階認証の復元はでき管理は難しくはありません。
不正ログイン方法が一般公開されている情報を踏み台にしつつある現状において、二段階認証の導入は仮にパスワードが破られてもログインの許可は二段階認証が入っているスマートフォンの許可をしない限り出来ません。
二段階認証は不正ログイン対策として最も効果的な手法なので、導入の検討を是非してみてください。
《参考文献》
『SNSの個人情報が流出 フェイスブックは5億件超』日経PC21 2021年7月号
『複製容易 消えぬリスク フェイスブック、流出データ再拡散責任追及に限界』2021年4月6日付 日本経済新聞

神奈川県川崎市で税理士・社会保険労務士をお探しなら
経営者のパートナーとして中小企業の皆さまをサポートします
“第44回 SNS上の公開している個人情報に注意、不正アクセスの一因になっています” に対して1件のコメントがあります。
コメントは受け付けていません。