週刊アスキー

  • Facebookアイコン
  • Twitterアイコン
  • RSSフィード

LINEからFacebookまで、セキュリティのプロがSNS乗っ取りの手口を明かす

2014年10月25日 08時00分更新

文● 対談●三上洋(ITジャーナリスト)、矢崎飛鳥 編集●三宅

被害数は不明? LINE乗っ取り事件

LINEからFacebookまでSNS乗っ取り技術最新事情

矢崎:三上さんのテレビ露出が増えたのは、SNSとセキュリティに関してですよね。LINEなんか、ネットで検索するとLINEそのものよりも、三上さんの乗っ取りの話のほうが多く出てくる。LINE自体が一般的になったこともありますが、この乗っ取りの事件でテレビにラジオに引っ張りだこになって、「実は三上さんが犯人だったんじゃないか?」という説まで浮上しているという(笑)。

三上:テレビ局の会議室でインタビューを撮ると、うしろが暗くて照明がななめ上からなので、それで喋ると犯人に見えるんです。

矢崎:というわけで、LINEのオレオレ詐欺をはるかにしのぐ、“ちょっといいですか詐欺”ですが、あの手順は犯人の三上さん、どうやって思いついたんですか?(笑)

三上:俺に聞かれても(笑)。でも、今までなかったのは不思議です。そんなに難しい手口ではないし、パスワードリストがバレている時代では誰もがやられるので……でもLINEが一番やられやすいですね。

矢崎:実際の被害規模はどのくらいだったんですか?

三上:LINE側が数字を出してこないんですよ。普通は不正ログインがあったということと、何万件ものアカウントやられましたってことを発表するんですけれど、LINEだけは発表しない。同時期にmixiやニコニコ動画がやられて10万件超えでしたから、たぶん会員規模からいって倍以上、20万とか30万件はあるんじゃないかと思っています。

矢崎:それは日本だけですよね?

三上:そうです、あまり海外では聞かないです。

矢崎:規模的には、オレオレ詐欺を超えた?

三上:被害額はオレオレ詐欺のほうがずっと上ですが、やられた人数は多いかもしれない。

矢崎:LINEがものすごい勢いで普及したのは、敷居の低さですよね。その代償で、どうしてもセキュリティ面がトレードオフになるところがありました。使いやすさの部分とセキュリティとのバランスは、どういうものが理想ですか?

三上:俺がいろいろな場所で「こうやりましょう」と対策を言うんですけれど、守られないし、誰も聞いていない。パスワードはひとつひとつ個別に付けましょうと言っても、現実的には全員はやらない。

矢崎:やらないし、結局どうやってLINEのメンバーを増やせばいいのかは、セキュリティを強固にするとわからなくなってしまうんですよ。電話番号で登録するのは、すごく楽じゃないですか。それが閉ざされるわけですから、セキュリティと使いやすさはトレードオフだと思います。

三上:もう人間側の対策じゃ無理で、システムやソフトウェアでセキュリティを守り切れるところまで作り込んでもらわないといけないかな。あとは、LINEに大切な友達は登録しないというのもひとつの対策かと思います。

矢崎:本当に大切な人とはメッセンジャーでいいのかもしれない。

乗っ取り犯の手口とは?

矢崎:ここで、LINEの乗っ取りについて振り返ってみたいと思います。

三上:手口は、「iTunesカードを買って来てください」ばかりでしたが、もうバージョンが変わっているんですよ。彼らもどんどんと手口をブラッシュアップしてきて、例えばオレオレ詐欺型。

『いまだに続くLINE乗っ取り 真実はどこに?』

LINEからFacebookまでSNS乗っ取り技術最新事情


『オレオレ詐欺型LINE乗っ取り』

LINEからFacebookまでSNS乗っ取り技術最新事情

矢崎:もともと、オレオレ詐欺型のような気がしますが。

三上:より、オレオレ詐欺型なんです。「今、時間あるかな?」で始まるのは同じですが、「父が事故にあった。今、病院に行く途中で医療費が足りなくて、10万円貸してくれない? 私の口座に振り込んでください」などですね。これがすごいのは、通帳を撮って晒してくるんです。

『なんと、ゆうちょ銀行通帳をさらす』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:そして、ゆうちょ銀行のキャッシュカードも。犯人が「ここに入金せよ」って言ってくる。

矢崎:足がついちゃうじゃないですか。

『オレオレ詐欺型 LINE乗っ取り』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:この住所には運送会社に務めていた中国系の方がいました。ところが、実際に行ってみたら、すでに帰国していた。つまり、日本でゆうちょ銀行の口座を作り、それを中国、もしくは自国へ持って帰りました、ということらしいです。まぁ、そこまではテレビ番組と一緒に調べたんですが。

矢崎:追っかけたんですね。

三上:テレビ番組は一生懸命インタビューをとろうとしていましたが、「勘弁してくれ」ということで、とれなかったんです。頭がおかしいじゃないですか、自分の住所を晒しているんですよ? オレオレ詐欺はこれくらいはやってきますので、もしかしたらオレオレ詐欺のグループが、LINE側に乗り出しているのかもしれません。

矢崎:なるほど、オレオレ詐欺の発展型?

三上:そういうことです。

『LINE乗っ取り手口』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:LINE乗っ取り手の口としては、最初に情報流出があります。去年はたくさんの情報流出があって、Yahoo!とかOCNとか、昨年一年だけで2000万件ものアカウントがバレています。そのときニュースでは、「100万件も流出しました。Yahoo!によれば暗号化されているので、乗っ取られる心配はありません」みたいなことを言うんですよ。ところが、実際は暗号化ではなくハッシュ値というやつです。

矢崎:ハッシュ値?

三上:何かと言うと、パスワードにある計算をして出てきた結果がハッシュ値。つまり計算方法だけ共通にして、それが合っていれば同じパスワードだとわかるのがハッシュ値なんです。だから、本当はハッシュ値からパスワードには戻れないはずです。ところが、100万件も流出してしまうと、「123456」なんていうパスワードをみんなが使っているわけですね。すると共通するハッシュ値がいくつも出てきて、これはよく使うパスワードだということがバレて……。

矢崎:解析されてしまうんですね!

三上:そして、計算方式もわかる。そうすると、今までの例だと7〜8割のパスワードは復元できますよ。計算上はハッシュ値から戻せないことになっていますが、大量の統計からわかるようになる。

矢崎:そういうツールがあるんですか? それとも総当り?

三上:総当りだと思います。で、それをやっていくと、日本人がよく使うパスワードがリストアップされるわけです。アメリカ人だとパスワードは「password」が一番多いのですが、日本人だときっと「123456789」とかでしょう。そうやって、リスト化されるんですが、もうここからヤバい。

『乗っ取られる理由はパスワード使い回し』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:そのパスワードを基にして、ほかのサイトもやります。Yahoo!やOCNなどは、流出したらパスワードをリセットして再設定しなさいと言われるから安心です。ただ、流出したサイトは大丈夫でも、ほかのサイトがヤバいわけですね。某サービスから漏えいしたという事件がわかっているので、そのパスワードで、LINEやmixi、ニコニコ動画にログインすると、偶然合ってしまうかもしれない。

矢崎:偶然と言っても、現実問題としてみなさんが一般的に使っているサイトで、全部違うパスワードを頭の中に叩きこんでおくのは、なかなか難しいですよね。

三上:無理です、無理。不可能。だから、その場合は紙に書くか、Excelを使うか、パスワード管理ソフトを使うしかないです。

今ではタブーが推奨? パスワードの管理方法

『PCでのログイン事前調査』

LINEからFacebookまでSNS乗っ取り技術最新事情

矢崎:パスワードを紙に書くのは一番ダメって言いますよね?

三上:昔はね。「書いたものを持って行かれたらどうするの?」とか、「Excelがウイルス感染したらダメじゃん」と言われていました。でも、どちらが安全ですか? 危険性が低いですか? と変わったんですよ。ウイルス感染で流出するのも怖いし、パスワードの使い回しでやられるのも怖いけれど、リスクはどちらが低いかを考えると、実は紙に書いていたほうががリスクは低い。それよりも同じパスワードを使い回して、攻撃をされてしまうほうがヤバイんですよ。

矢崎:Excelや付箋紙に書くのはタブーとされてきましたが、同じパスワードを使うよりはまだ安全だと。

三上:自分で乱数表を作ってあるので見られてもわからないなど、ここまでやっていれば偉いですけれど、みんなここまではできない。そうなると、もう書いてしまうか、Excel一覧表にするしかないですよ。

矢崎:同じパスワードを使っている人は、すごく多いと思いますよ。あとパスワードをExcelに入力するのすら、ちょっと敷居が高いですよね。

三上:まぁ、手間がかかりますよね。一番いいのはパスワード管理ソフトですが、ほとんどが有料ですので、どうしたらいいのかは難しいところですね。

矢崎:週刊アスキー誌面に角川アスキー総合研究所の遠藤諭さんが書かれていたのは、「パスワードってどうなのよ」という、そもそも論。パスワードってパソコンができてからずっとあって、ネットワークが始まるより前からログインの概念がありました。こんなに技術が進んで、iPhoneでは指紋認証もありますが、これも結局はパスワードじゃないですか。パスワードの入力を省くために指紋を登録しているだけで、個人認証という自体の技術はなかなか進歩していないですよね。

三上:声帯認証も結局コピーされたし、iPhoneのTouch IDにしてもグミみたいなものでペタってやればコピーできる。ここまでくると哲学的になってきて、本人認証ってどれが本人なの? というところですよね。だから、そこはシステムを考えなければいけないと思います。

乗っ取り犯の日本語が上達した理由とは?

三上:今は「LINEウェブストアにログインできませんでした」というメッセージが来る人が多いと思います。

矢崎:LINEからの注意みたいですね。

三上:これは犯人が事前調査をしているんです。入手したIDとパスワードのリストがあって、これが合っているかどうか、PCの自動化プログラムで先に調査するわけです。LINEウェブストアはPCからログインするシステムなんですよ。

矢崎:そうですね。

三上:ブラウザーから見られるものなので、自動化プログラムで簡単にアタックができる。こうやって事前調査をして、IDとパスワードが合っている人だけ、このあとで乗っ取ります。ほとんどの人は、「ログインができませんでした」というメッセージだけだと思いますが、知人は「ログインしました」とメッセージが来て、その直後に乗っ取られたと言っていました。

矢崎:「ログインしました」と来たら、もう乗っ取られるんですね! もう返事とか反応とか関係ないんですね。

三上:当初はAndroid端末を使っていたのかもしれませんが、そんなことでは間に合わないので、今はWindowsやMac上でAndroidシミュレーターを使います。シミュレーター上でLINEアプリが動くのでPCから行なっていて、それは週アスPLUSで入手した乗っ取り台本からもわかります。

矢崎:台本は中国語で書かれていましたが、犯人はコピペしていたわけですね。

週アスプラス記事(LINE乗っ取り犯の台本)

LINEからFacebookまでSNS乗っ取り技術最新事情


『台本1ページ目』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:初期はもっとバラバラな表記でした。「コンビニ」と書く人もいれば、「コソビニ」だったり、半角交じりだったり、もっと日本語があやしくて、つまり手打ちしていたんですよ。もし、コピペだったら文字は統一されるはずじゃないですか。この台本の存在が判明したころには、文面がすごく洗練されてきて、すべてが同じ文章、しかも日本語がちゃんとしてきた。台本のおかげで、先ほどのPCでシミュレーターを動かすシステムにして、ブラッシュアップしたから上手になってきたのでしょう。

矢崎:会話ができるようになりましたね。「結婚しましょう」「どこで結婚式あげますか?」とか(笑)。

乗っ取り犯のIPアドレスに中国がない理由

『IPアドレス世界中。中国なし』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:乗っ取り犯のIPアドレスですが、これをあるテレビ番組が100件くらい集めて、地図にマッピングしました。そうしたら、インドネシアとかエジプト、ペルー、ブラジル、スペイン、ベネズエラ、ヨーロッパなど世界中からでした。

矢崎:世界中?

三上:ほぼすべての国です。ところが、中国だけなかったんですよ。

矢崎:それはなぜですか?

三上:ふたつ理由が考えられ、ひとつは中国本土でLINEが規制されてアクセスできないのかもしれないこと。もうひとつは、犯人が中国にいるため、自分が中国にいることを隠したいからでしょう。世界中から送られているわけではないです。世界各国に乗っ取ったPCがあって、そこを足場にして送っているのです。

矢崎:なるほど。もうハイテク犯罪です、笑い事じゃないですね。

三上:ちゃんとハッキングの基礎はできているようです。

矢崎:なんか三上さんが心配になってきちゃった、狙われていないですよね?

三上:説明するとできちゃうじゃんって話もあって危ないんですが(笑)。これは調査された方がいて、「PINコードを4桁入れたから大丈夫」と話したら、「俺もテストしましたが、穴があるんですよ」と言うんです。PINコードは間違えても10回までという規制があります。ところが1時間後に解除されてしまうので、1時間ごとに10回ずつ試せるわけです。

矢崎:そうすると結構な数が試せると。

三上:4桁だから1万通りまでなので、最長でも1000時間で解けるんですよ。でも、全部やる必要はなくて、最初に誕生日を入れたら結構当たるはずです。

矢崎:誕生日の情報はわかるのですか?

三上:というか1万通りあっても、0001から9999まで順にやらずに、最初に365日の数字だけ入れれば早く当たる。よく使われる数字から入れたら、それほど時間はかからないですよ。仮に1000時間かかるとしても、実際はPCで動かしているのでいいわけです。

矢崎:もうPINコードである限りセキュリティは保たれないのですね。でも、せめて日付はやめたほうがいいと。

三上:日付とか連番とかはやめたほうがいいです。あと電話番号ね。

日々、進化する乗っ取り犯の手口

『LINEの新しい手口はたぶん半分は嘘』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:今、話題の記事で、LINEの新しい手口というものがあります。

矢崎:まだあるんですか!

三上:LINEの乗っ取りで、アドレス帳が抜かれて脅迫される手口です。

矢崎:知り合いからの脅迫ですか?

三上:「お前のアドレス帳を取った」と脅迫が来ます。

矢崎:犯人からの脅迫なんですね。

三上:これ、すごく話題になっていますけれど、多分乗っ取りじゃないですね。アプリからアドレス帳がぶっこ抜かれて脅迫されるというのは、アダルト詐欺で一年前からある手口です。LINEでかわいい女の子のアイコンの人からメッセージが来て、「ちょっとエッチな動画を交換しない?」みたいなこと言われるんです。で、お互いに動画を送り合いますが、「このアプリだとお互いにメッセージのやりとりできるから入れて」と言われ、そのアプリを入れるとアドレス帳が全部抜かれているという手口です。

矢崎:実際抜かれるんですね?

三上:抜かれます。そして、「お前のアドレスをぶっこ抜いた」と証明の画像が送られてくる。「お前の友達全員にお前が送ってきた動画を晒す。嫌だったら20万円払え」とか脅迫される。実際、被害者から俺のところに相談の電話が来ました。

矢崎:先に警察じゃなくて?(笑)

三上:警察には、無視するしかないと言われたそうです。でも20万円を朝10時までに払えって言われていたので、朝8時に電話がかかって来ました。

矢崎:うわぁ、かわいそうに……。

三上:「どうしたらいいですか?」と言われても、仕方がない。「あなたの局部が映っている動画だけれど、よく考えてごらんなさい。日本に何万人ものAV女優さんがいて、その人たちも生きているんだから、君ももう諦めるしかない」と。もう機種変更ではなく新規で電話番号を新しくしろと言うしかなかった。

矢崎:確かに、電話番号を変えたら送れなくはなりますよね。

三上:詐欺は絶対に相手にしちゃいけないんです。相手は無視です。

矢崎:対策が間に合わずに、実際に晒されたことはないんですよね? 被害が拡散されたことはない?

三上:その人とは、それから連絡をとっていないので……どうなんでしょうね。

矢崎:そういうことがあったら、また犯罪になるわけですよね、恐喝だし。

三上:今の例もそうなのですが、オレオレ詐欺だったりアダルト詐欺だったりのグループがLINEを悪用しはじめているんですよ。LINEが人にアプローチしやすいツールになってしまったので。

矢崎:あと、リテラシーが低いって言葉が適切かどうかはわからないですけれど、そういった意識のない人が使っている。要するに老若男女が、社会インフラになるくらい使っているから、やっぱり狙われやすいですよね。

三上:誰もが持っているんで、本当に怖いですよ。

矢崎:どこに行っても、まず「LINEやっている?」ですもんね。キャバクラでも(笑)。

誰でも可能? 30秒でできる乗っ取り方

『おまけ:浮気調査のLINE乗っ取り?』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:ここで、おまけの話。例えば、週間リスキーの編集長が浮気をしていました。俺が彼女だとしたら、「絶対に女と遊んでいるはずだから、スマホのLINEを見せてよ!」と詰め寄ります。で、ここでスマホを30秒ほど貸してくれたら、LINEを乗っ取れるんですよ。IDもパスワードもPINコードも必要なくて、この端末を30秒借りるだけでいい。

矢崎:ん? どういうことですか?

三上:すごく単純で、SMS認証を使います。SMS認証って、その電話番号が有効か調べるものなんですよ。電話番号と4桁の暗証番号を紐づけるものなので、別のスマホやPCから送信して暗証番号が来たらパッと見て削除する。それを返せば、送信側の端末から見られる。これからは、浮気調査やストーカーとか、浮気を疑っている奥さんにLINEを乗っ取られるかもしれないね。

矢崎:でもLINEを乗っ取ること自体は犯罪にはならないんですか?

三上:不正アクセス禁止法になると思います

矢崎:奥さんでも彼女でも一応犯罪ではある?

三上:奥さんだと微妙かもしれないですね。

矢崎:三上さんの知識も、もう法のほうに行かなきゃだめなんですね(笑)。被害に遭われた人の電話相談まで受けているし。

三上:電話番号をネットに晒しているんでね。まぁ、俺のところに電話がかかってくるのは、せっぱつまった人です。とても警察にも言えないとか、警察に言ったけれど相手にしてもらえないとか、そういう人。

矢崎:ほかには?

三上:Facebookを乗っ取られて、クレジットカードも使われたという人がいました。本当に謎なんですけれど、Facebookアカウントとクレジットカードを同時に盗られた、すごく複雑なパターンの相談でした。

矢崎:LINEが最も危険とはいえ、やっぱりFacebookも狙われているわけですが、LINEの犯人とは違いますか?

三上:今の感じだとまったく違うんですよね。

スパム広告より簡単なFacebookの乗っ取り広告

『レイバン宣伝クレカ勝手に登録、悪夢のFacebook乗っ取り』
 

LINEからFacebookまでSNS乗っ取り技術最新事情


『偽レイバン通販サイトのスパム』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:Facebookの乗っ取りの例ですが、「偽レイバン通販サイトのスパム」という広告がありました。価格が2500円なので、見ただけで嘘とわかるのですが、この広告がユーザーさんの名前で出てきます。普通はスパムアプリにやられたな、と思いますが、その人に聞いてみたら乗っ取りだったんですよ。

『レイバンスパムは乗っ取りだった』

LINEからFacebookまでSNS乗っ取り技術最新事情

矢崎:乗っ取りで広告が表示されるというのがわからないのですが。

三上:その乗っ取られた人に、なんと中国の深センから「ログインに成功しました」というメッセージが来たそうです。そこでログインされて、勝手に広告を書かれたわけです。しかも、ログインして何をやったかっていうと、この偽レイバンの広告のサイトを、その人のFacebookページの個人アカウントで書いただけ。

『広島が住所の有名偽通販サイト』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:実際に飛んだ先ですが、勝手に作られたサイトで、レイバンのロゴもインチキだし、VISAとかJCBとか書いてあるけれど、これも嘘ですよ。広島に住所があって、この住所を調べてみたら、消費者センターに悪徳通販だと登録のあるサイトだったんですよ。最初から偽通販の詐欺の業者が、Facebookアカウントをそれだけのために乗っ取っていたんです。

矢崎:彼らの収入は?

三上:広告するだけですよ。例えば矢崎さんのアカウントを乗っ取ったとします。矢崎さんの名前で、「レイバンのオススメがこれ」「ここだと安いよ」と書き込みます。すると矢崎さんの友達は、「矢崎が言うなら本当なのかな」と思って買いに行くわけです。そうやって単に売り上げを増やしたいだけですよ。今までのようにスパムメールで宣伝するよりも、乗っ取りでやってしまおうというわけです。こう考えると、いかに乗っ取りが楽な方法かがわかります。乗っ取りのコストが低いからできるんですね。

矢崎:コストも低いですし、Facebookで人が紹介しているという心理的な効果も高いですよね。

三上:この乗っ取りはパスワードリスト攻撃、つまりユーザーが同じパスワードを使い回していたのが原因です。同時にスパムアプリもあるので、注意しましょうという話でもあります。

パスワードをこまめに変えてもムダ?

『Hootsuiteでの乗っ取り事件』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:Twitterの乗っ取りは話題にならないですけれど、たまに聞きますよね。俺も、サブアカウントをやられました。それはTwitter自体ではなく「Hootsuite」というクライアントソフトからで、独自のパスワードで管理できるためIDとパスワードが抜かれ、Twitter上に英語のダイレクトメールがバラまかれるという事件がありました。あまり変なクライアントソフトは使わないほうがいいかもしれないです。

矢崎:Hootsuiteは別に変なソフトじゃないですよね?

三上:Hootsuiteは大丈夫だけれど、クライアントソフトが独自アカウントだと、それも管理しなきゃダメでしょ? Twitterに連携しているならいいけれど。

矢崎:IDとパスワードを新規で取得させるのって、ものすごく大変じゃないですか。だからほとんどのサービスがFacebookかTwitter、あとはGoogle+のアカウントでログインできるようにしている。それ自体はセキュリティに問題はないですか?

三上:IDやパスワードで信頼できるものがひとつあれば、それを共用しましょうっていうのは、事前の策なんですよ。完全に信頼できて、乗っ取られないならば大丈夫なんです。たくさんのアカウントを使わずに済むし、信頼性も高まります。でもひとつやられたら、全部やられてしまう。

矢崎:だからメインで使うものは、こまめにパスワードを変えるとか?

三上:パスワードを変える行為はダメ、非常に意味のないやり方です。それよりも複雑な長いパスワードにしないと。何で変えるのがダメかというと、別に変えてもいいんですよ。安全性が悪くなるわけでもないですが、変えるときどうします?

矢崎:再設定が面倒だしリセットしちゃう。

三上:変えるっていう努力をするんだったら、ひとつひとつ別々にする努力をしたほうがいい。

矢崎:LINEも「パスワードを変えてください」というのがあったじゃないですか。でも、みんなパスワードの変え方がわからないんですよね。パスワードの変え方という記事がものすごいアクセス数でしたが、「パスワード 変え方」で検索している。

三上:じゃあ俺も別媒体でそれを書こうかな(笑)。

矢崎:あとは、パスワード変えるとLINEのスタンプはどうなるのかとか。

三上:あの辺はうまくやりましたよね、ただ詐欺も出そうですけれど。

アカントやフォロアーを売るあやしい業者

『フォロワー販売業者、怪しい業者』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:「こいつら何をしているのかな?」という、とんでもないサイトがあります。日本人フォロワーを売りますみたいな業者で、リツイートを代行しますとか、あなたのツイートを1万リツイートしますといったサービスです。

矢崎:いろんなアカウントを持っているということですね。

『電話番号付き認証アカウント販売??』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:もっと怪しいのがこれ。Facebookの「いいね!増加」はわかりますよ。けれどFacebook携帯電話番号認証アカウントって、何これ。

矢崎:携帯電話を持っていない人向け?

三上:携帯電話が認証済みということは、実在するアカウントの携帯電話があるということですよね。そんなものまで売るわけですよ。

矢崎:携帯電話も一緒に売るということとか?

三上:いや、携帯電話の認証が済んでる、つまり、ぶっこ抜かれたアカウントを売るというわけですよ。

矢崎:でも、儲かるから業者がいるわけですよね。三上さんはこういうが知識すごいけれど、「いいなぁ」って心が揺れることはないですか?

三上:ないですよ(笑)。でもね、10年ほど前の話ですが、同業のライターさんがいました。セキュリティのことを書いていて、詐欺対策はこうしましょうとか、某有名消費者団体のしおりにまで原稿を書いていて、ネットの安全利用では有名なテレビにも出る人。で、その人ね、オレオレ詐欺の一味だったの。

矢崎:まぁ、警察官が泥棒だったり、クラッカーが警察官だったりとか、海外だと結構あるじゃないですか。一流のクラッカーがセキュリティ会社に勤めたり、逮捕しない代わりに国家の情報セキュリティ対策に就職させたり。同じ穴のムジナじゃないけれど、なんか近いところですよね。

三上:いろんな事件が起きるたびに手口を検討すると、やろうと思えばやれてしまうので、怖いです。

矢崎:しかし、いろんな商売が……だってYouTube再生回数アップとか心揺らぐ!(笑)

三上:このYouTubeライブのビューがビーンと上がるということですよね。週アスのCEATECブースの出展料の10分の1ぐらいのお金で、YouTubeライブのビューが1万くらい上がりますよ。

矢崎:そのほうが効果的ですもんね。

三上:やる気になっているし(笑)。

矢崎:やらないですけれど、そういう商売が成り立ってしまうのですね。

乗っ取られないためのパスワード管理法

『対策まとめ』

LINEからFacebookまでSNS乗っ取り技術最新事情

三上:対策をまとめましょう。LINEですけれど、もう最終的にはメールアドレスの登録やめようということです。

矢崎:メールアドレスがIDなのがよくないと。

三上:LINEはメールアドレスの登録をしないと機種変更ができませんし、PCでのアクセスもできません。すごく不便だけれど、乗っ取られることはまずない……というか絶対にない。もしあったとしたら、LINEの本社が直接やるくらい。だから、これがベストかもしれないですね。

矢崎:機種変更のときは、SMS認証だけやって、メールアドレスは登録しない?

三上:それだと今までの友達リストがなくなってしまいます。だから、機種変更のときだけメールアドレスとパスワードを設定し、機種変更が終わったらまた解除をする。

矢崎:LINE側でバックアップリストアみたいなことをやれないのでしょうか?

三上:それをやるのにIDとパスワードが必要ですよ。

矢崎:バックアップリストアの概念がないのが、機種変更の障害になりますよね。

三上:もともと、LINEは1台に1アカウントという紐づけのやり方なんですよ。

矢崎:そうですね、昔はタブレットでも使えたけれど、止めましたし。

三上:普通のアプリと違うので、先ほど言ったセキュリティの穴はあるし、まだ整備されてない部分もありますね。

矢崎:そう考えるとFacebookのほうが楽なのに。でも、みんなはLINEのほうが楽に思っているのですよね。

三上:スマホ的にはそうですよね。みなさん、ぜひ二段階認証をやりましょうということです。Twitter、Facebook、それからGmailです。Gmailは一番使うので、メールアドレスをやられると、全部やられるじゃないですか。それから、パスワードの使い回しはしないように。パスワードが覚え切れないという前提で、Excelに書きましょう。

矢崎:もしくはパスワード管理ソフトですね。オススメのソフトはあります?

三上:「1Password」だと思います。スマートフォンも一部対応していますが、基本的にはPC用ですね。これをやっていただければと思います。

矢崎:今日、目から鱗だったのは、パスワードをメモやファイルで保存しておくという方法。最もタブーだとされていたけれど、むしろそのほうがマシというくらい、パスワードを使い回すことが危険だと勉強になりました。

三上:今はパスワードの使い回しをやめましょうキャンペーンをやっています。

矢崎:ネットに繋がっているPCとはいえ、ローカル環境に置いたファイルや、ディスプレイにメモが貼ってあっても、インターネットの海には旅をしないじゃないですか。でも、パスワードとIDはいろいろなサービスで使うので、インターネットの大海原を旅している。だから、いつ海賊と遭遇してもおかしくない、そういうことですよね?

三上:iCloudの画像流出事件は、秘密の質問と答えがバレたという話ですが、やはりパスワードをきちんと管理しようという発想があれば、「(個人画像のある)iCloudはもっと大事にしよう」といった発想に繋がるので、パスワードをひとつずつ変えるというのは本当に重要なことです。

矢崎:乗っ取りと対策はいたちごっこなので、このあと三上さんにどんな相談の電話がかかってくるかわからないですね(笑)。

三上:今のところまだお金の話だけだからいいですが、身の危険を感じるような相談がかかってきたら嫌だなぁ。

矢崎:あと、こういったセキュリティ対策の啓蒙で、犯人に狙われないか心配です。

三上:それも嫌ですね(笑)。

三上 洋
ITジャーナリスト。セキュリティ、携帯電話、スマートフォンを専門にし、テレビでの解説も多数。Ustream草創期から続いている長寿番組『UstToday』のパーソナリティーを務める。
Twitterアカウント
三上 洋事務所HP

対談はCEATEC2014会場の週刊アスキーブースから配信された『週アスYouTubeライブ』の番組を基に編集した​ものです

この記事をシェアしよう

週刊アスキーの最新情報を購読しよう