https://www3.nhk.or.jp/news/html/20230202/k10013968261000.html
不正ログインでポイント使い商品購入か 中国籍の男逮捕
大手ドラッグストアの会員向けサイトに不正にログインし、会員になりすまして、たまっていたポイントで商品を購入したとして、20代の中国籍の男が逮捕されました。この会社のサイトは去年、リスト型攻撃とみられる手口で、不正アクセスを受けていて、警視庁は、この攻撃で閲覧されたIDやパスワードなどの情報が、悪用されたとみて調べています。
逮捕されたのは、大阪 中央区に住む中国籍で無職の李※チン容疑者(21)です。
警視庁によりますと、去年7月、大手ドラッグストア「サンドラッグ」の大阪市内の店舗で、埼玉県に住む30代の女性になりすまして、会員向けサイトに不正にログインし、たまっていたポイントを使って化粧水など、およそ7万円分を購入したとして、詐欺などの疑いが持たれています。
使われたIDやパスワードは、SNSを通じて、共犯者とみられる人物から容疑者に送られていたということで、調べに対し、容疑を認め「知り合いから“仕事”として紹介された」などと供述しているということです。
事件の直前には、この会社の通販サイトなどが、ほかのサイトから流出したIDなどを悪用して接続を試みるリスト型攻撃とみられる手口で、不正アクセスを受けていて、警視庁は、この攻撃で閲覧されたIDやパスワードなどの情報が、悪用されたとみて調べています。
※「王」へんに「深」のつくり
「リスト型攻撃」とは 去年も国内で被害例
「リスト型攻撃」は、インターネットのサービスにIDやパスワードなどを自動的に打ち込んで不正にログインを試みる手口です。
攻撃に使われるパスワードなどのリストは別のサービスから流出したもので、ダークウェブと呼ばれる匿名性が高いサイトなどで売買されているとみられています。
同じIDやパスワードを使い回している人が多いことからリストを元にログインを試みるとパスワードが破られるおそれがあります。
専門家によりますと、国内では10年ほど前から確認されるようになったということで、去年も家具日用品大手の「ニトリホールディングス」の13万件余りの会員のアカウントが、リスト型攻撃とみられる手口で不正アクセスを受け、氏名や住所などの情報が閲覧されたとみられることが明らかになっています。
不正ログイン防ぐには
不正アクセスの調査などを行う、独立行政法人情報処理推進機構=IPAによりますと、リスト型攻撃などによる不正なログインを防ぐには、
パスワードを、
▽10桁以上で
▽英数字や記号を組み合わせて複雑にし、
▽ほかのサービスと使い回さないことが大切で、
誕生日などの分かりやすい情報は含めないでほしいとしています。
ところが、IPAがパソコンの利用者5000人を対象に、おととしから去年にかけて行った調査では、
▽パスワードを推測しにくいものにしていると回答した人は77%余りだった一方、
▽使い回していると回答したのは44%余りに上っています。
IPAセキュリティセンターの加賀谷伸一郎さんは「いまも半数近くの人がパスワードを使い回すなど、対策が不足しているのが現状だ。個人でもできる対策を進めてほしい」と話していました。
