【IT】カード不正利用され考えたこと(2014-10-30:フジサンケイビジネスアイ1面掲載)

 とうとうネット犯罪の被害を体験してしまった。発端は10月5日の日曜日に留守電に入っていたクレジットカード会社からの電話。「確認したいことがありますので、また電話します」との伝言に不吉な予感がよぎり、筆者から電話を掛け直した。

 「昨日、ゲームソフトを購入しましたか」と聞かれたので「いや、全く身に覚えがない」と言うと、すぐに事務的な説明が始まった。

 「昨日、ネットショッピングでの不正利用がありましたので、クレジットカードは止めさせていただきました。被害は当方で負担します。新しい番号のカードをお送りしますので、現在お持ちのものはICチップの部分を切断して破棄してください。新しいカードと前後して被害届の用紙が届きますので、必要事項を記入して送付いてください。クレジットカードから毎月引き落としになっているものは、番号が変わりますので変更手続きをお願いします」

 電話を切ったあとにパソコンを立ち上げると、ネット被害の痕跡が残っていた。前日の土曜日夜9時2分にネットショッピングサイトから「会員情報変更のお知らせ」というメールが届き、3分後に「購入内容ご確認」という7通のメールが同時刻に届いていた。購入された商品は、購入後のキャンセルができないゲームソフトのダウンロードサービス。全て同じソフトで請求額は4104円、被害総額は2万8728円だった。クレジットカード会社は、こうした不自然なネット購入を監視・対応する仕組みを整えているのだろう。

 今回の手口はいわゆる「不正ログイン」と呼ばれるものだ。どこからか筆者のパスワードが漏えいし、そうして入手したパスワードを集めたパスワードリストを使ってクレジット情報が登録されているネットショッピングサイトなどに不正ログイン攻撃を仕掛けると、何件かログインに成功する。利用者がパスワードの使い回しをしていることが最大の原因で、恥ずかしながら筆者も同様の過ちを犯していたのである。

 独立行政法人情報処理推進機構(IPA)が9月に報道発表した「パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ」でも、不正ログイン被害が後を絶たない状況であることから「STOP!!パスワード使い回し!」を強く訴えている。

 ネット犯罪が注目され始めた1987年に筆者は「コンピューターセキュリティー」と題した本を出版し、セキュリティ分野の先駆け的な役割を果たした経験がある。最近のネット犯罪動向はフォローしていなかったが、パスワードの使い回しが危険であることは承知していた。今回はカード会社が被害をカバーしてくれたが「将来的にはセキュリティ対策を怠っていると判断された場合、過失を問われる可能性も考えられる」(IPA広報)

 とは言え、しばらくサービスを利用しないとパスワードがすぐに思い出せない。紙に書くのも面倒だし、書いた紙がなくなることもある。インターネットサービスのセキュリティ対策が相変わらず利用者のパスワード管理に大きく依存している現状を考えると、今回のカード番号の変更を機にネット上にクレジットカード情報を登録せずに代引きやコンビニ利用に切り替えてみようと考えている。