経済産業省が昨年発表した「電子商取引に関する市場調査」によると、2013年の市場規模は11兆1660億円に上ります。このような、通販業者と個人の間で行われる取引は、2020年には20兆円に達するとのことです。
　皆さんも、ネット通販のサイトを利用されることも多いのではないでしょうか。最近では、スマホを使って品定めをして、そのまま購入する人も多いようです。ネット通販を利用する際に、個人IDやパスワードを入力して、商品を購入することがほとんどかと思います。
　このIDやパスワードを不正に入手して、大量の商品を購入した容疑で逮捕者が出たと、先日報道されました。SQLインジェクションと呼ばれる手口です。この手口で、１つや２つのIDではなく、およそ2000ものIDを不正入手したというから驚きです。

サイバー攻撃の手口で多いのは
　Webサイトによっては、何らかの不備があるままに運用されているものもあり、このようなサイトが攻撃の対象となっているようです。情報処理推進機構の「2014年度情報セキュリティ事象被害状況調査」によると、サイバー攻撃の手口で最も多いものはDoS攻撃となっています。システムの処理能力を超える大量のデータを送りつけることによって、データの大渋滞を発生させ、円滑なサービス提供を阻害させる攻撃です。
　右の図が上位の手口の割合を示したものです。２番目が標的型攻撃。３番目が脆弱性を突かれたことによる不正アクセス。４番目にSQLインジェクションとなっています。
　SQLインジェクションとは、コンピュータが理解できるSQLという言葉を使って、データベースに不正アクセスする手口です。ちょっと工夫を凝らしたSQLの文を送り込み、本来であればアクセスできない情報をデータベースから読み取ったり、データを操作したりする攻撃です。犯人は、セキュリティが甘いサイトを狙って「IDとパスワードを表示しなさい」という文を送り込んだわけです。

同じIDとパスワード使いまわしていませんか？
　皆さんは、IDを必要とする通販サイトをいくつ利用されていますか。１つや２つという方は、少ないのではないでしょうか。筆者の場合も、片手の指では数えられないと思います。利用している通販サイトは数えきれないという方もいらっしゃると思います。
　これらのIDはどのように管理されていますでしょうか。もしかしたら、すべて同じIDで、すべて同じパスワードという状態ではありませんか。今回の犯人が、不正入手したIDとパスワードを、別のサイトで使ったとのことですが、これがうまく行ったのは、IDとパスワードを同じにしている人が多いためかと思われます。ちなみに、先ほどの調査結果での攻撃の手口の５番目は、IDとパスワードを利用した成りすましによる不正アクセスとなっています。

工夫して頑丈なパスワードを作りましょう
　いまや、世の中はネット社会となっています。この世界で過ごす上で、IDとパスワードは欠かすことはできないものとなっています。すべてのIDとパスワードを異なるものにするというのは難しいと言われる方も多いと思います。人が覚えられる限界は、せいぜい３〜４個ではないでしょうか。これでは、多くのサイトを利用する場合に、同じ組み合わせのサイトが出てきてしまいます。しかし、工夫をすることで、すべてを異なるものに変化させることもできます。特に、ネットバンキングのID・パスワードは、レベルを上げたものにしていただきたいと思います。
　今回のようなサイバー犯罪に巻き込まれないように、IDとパスワードの取り扱いを、もう一度考え直してみてください。いつの日か、これ以外の認証方法が登場するのを期待して。

　 【参考情報】
・金融機関サイトに安全に接続できる「セコムプレミアムネット」
・安心豆知識「コンピュータの世界の鍵、パスワード」
・セコムトラストシステムズの情報セキュリティ辞典

セコムＩＳ研究所
リスクマネジメントグループ
濱田宏彰