インターネット上には私たちの生活を豊かにしてくれる便利なサービスがあふれています。ただ、利用するサービスが増えれば増えるほど、パスワードを個別に設定する意識は薄れてしまいがちです。パスワードを使い回してしまった場合のリスクを改めて知り、各種サービスを安全に利用するために3つの対策を実施しましょう。

ショッピングサイトやSNS、Webメール、クラウドストレージ、ネットバンキングなど、インターネットサービスのアカウントの作成時はほとんどの場合、IDとパスワード（認証情報）の登録が求められます。パスワードをいくつも覚えられないという理由で、複数のサービスに同一のIDとパスワードを使い回している方もいるのではないでしょうか。しかし、それはアカウントの保護という観点で望ましくありません。パスワードの使い回しはなぜいけないのでしょうか。

インターネットに潜むサイバー犯罪者は、何らかの方法で入手した他人のIDとパスワードのリストを用いて、複数のサービスへのログインを試みます。このため、複数のサービスに同一のIDとパスワードの組み合わせを使い回していると、盗まれたりした場合に複数のサービスのアカウントを芋づる式に乗っ取られてしまうのです。では、サイバー犯罪者は他人のIDとパスワードをどのように入手するのでしょうか。

代表的な手口はフィッシング詐欺です。これは、実在するショッピングサイトや銀行、クレジットカード会社などの正規のログインページを装う偽サイト(フィッシングサイト)へ利用者を誘導し、そこで入力させた情報をだまし取る手口です。たとえば、携帯電話事業者や、Appleを装い、不正利用の疑いがあるなどとしてログインを促すSMSを送りつけ、そこからフィッシングサイトへ誘い込む手口が確認されています。

キーロガーも認証情報を盗み出す手段の1つです。これはキーボードから入力された情報を外部に送信するマルウェア（ウイルスなど悪意のあるソフトウェアの総称）です。サイバー犯罪者はターゲットのパソコンにキーロガーを感染させ、収集したキーボードの入力情報を解析することでIDとパスワードを割り出します。ホテルや図書館などに設置された不特定多数が利用するパソコンにはキーロガーなどのマルウェアが仕込まれているリスクもあるため、認証情報や個人情報の入力は避けた方が無難です。

さらに、インターネットサービス事業者の人為的なミスやサイバー攻撃による情報漏えいがきっかけで利用者のIDとパスワードが流出してしまう事故も起こっています。そこから流出した認証情報は不正に利用されたり、闇サイト(闇市場)の商品として扱われたりし、サイバー犯罪者に売却される可能性もあるのです。

辞書攻撃や総当たり攻撃によって認証情報を探り当てられてしまうパターンもあります。辞書攻撃は、辞書に載っている英単語やパスワードによく使われる単語を登録したリストを準備し、それらを1つのIDに対して順番に試していく手法です。一方、総当たり攻撃はプログラムによってパスワードに使用できる文字種の組み合わせを片っ端から試していくものです。一般的な辞書に載っている単語や、短く単純な文字列をパスワードに設定していると、アカウントの乗っ取り被害に遭うリスクを高めてしまいます。

サイバー犯罪者は、このようにさまざまな方法で他人のIDとパスワードを盗み出したり、探り当てたりして各種サービスのアカウントを不正利用し、金銭や情報を得ようとしています。こうした被害を防ぐためにはどうすればよいでしょうか。

対策の詳細はSTOP! パスワード使い回し!キャンペーンのページで解説されています。
万一、クレジットカードやデビットカードの利用明細に覚えのない請求があった場合は、速やかにサービスの提供元やカード発行会社、警察に連絡しましょう。