今回はネット事件関連記事の掲載が少なかったため、ランキングは5位までの発表(世間的にネット関連事件が無かったわけではないのだが)。トップは久々に大手企業の個人情報流出事件。社会的な問題になってからずいぶん経つというのにこれだけ繰り返すのは、結局どこかに穴があるのは仕方がないと考えざるを得ないのだろうか。
2009年7月のネット事件簿 Top5(※)
| 順位 | 記事 | 掲載日 |
|---|---|---|
| 1位 | 住友生命保険、Winnyで従業員情報約1600人分がネット流出と発表 | 7/29 |
| 2位 | 英語版2ちゃんの"4chan"、米AT&Tのアクセス遮断巡ってお祭り騒ぎに | 7/28 |
| 3位 | アパートの不満をつぶやいたら訴訟沙汰に! - 米国的Twitter事情 | 7/31 |
| 4位 | 誕生日と所在地だけで… - 米国の社会保障番号を予測する技術が発見される | 7/7 |
| 5位 | Twitterの機密情報が漏洩 - 幹部のGmailにハッカー侵入か | 7/17 |
※ 各記事の掲載日(7/1-7/31)から1週間のアクセス数をもとにしています。
今回5位に入ったのも情報流出系だが、こちらは少し様子が異なる。個人のGmailアカウントに不正アクセスして盗まれた情報が、ブログメディアに掲載されてしまったというものだ。しかもそれが今最も注目されているWebサービス「Twitter」の幹部のアカウントだったという。
Webメールは、なくす・消えるという方向のセキュリティ対策としては、自分のPCに受信したメールを溜めておくよりよほど強固だ。しかし逆にそれが今回の事件を引き起こした。ユーザー名はメールアドレスで知られてしまうから、あとはパスワードだけが全てを守っていることになるわけだ。
ここで悪用されたのがパスワードリカバリ(日本のサービスではパスワードアシスタンス)の機能だ。日本のサービスで説明されているパスワードの再設定方法は下記の通り。
予備のメールアドレスを登録してある場合 : パスワードアシスタンスのページでユーザー名を入力すると、予備アドレスにパスワード再設定用URLが送信される
予備のメールアドレスを登録していない場合 : ログインの試行が24時間中断され、24時間後にパスワードアシスタンスのページでユーザー名を入力。セキュリティ保護用の質問が表示され、回答するとパスワードをリセットできる
(2)の場合、元のユーザーが24時間以内にログインがロックされていることに気付かなければ、第三者が次のステップに進むことが可能となってしまう。最後の防壁はセキュリティ保護用の質問だが、ありがちな「卒業した学校」や「ペットの名前」などは、履歴が公になっている有名人やソーシャルサービスのプロフィール・日記等を事細かに書いている人では、強度不足となる可能性が高い。
|
ちなみに、セキュリティ保護用の質問を設定していない・忘れた場合は、かなり面倒なことになりそうだ |
この問題はここで終わらない。盗まれた情報を犯人が複数のブログメディアなどに送りつけ、そのうち一部が掲載されてしまったのだ。流れてしまった情報を元に戻すことはできない。犯人が逮捕されても、被害者の"被害"が終わるわけではないのだ。
今さらながら自分のGmailアカウントが心配になった人は、「パスワードと復旧オプションの変更」ページで設定しなおしておくことをお勧めする。そして今さらながら、ID/パスワードの煩わしさは10年前からほとんど進化していないのだと実感する。
テックトピア:米国のテクノロジー業界の舞台裏 第17回 「デビッド・メイヤーを追え!」、ChatGPTの応答拒否に隠された謎
