なぜ、パスワードの使い回しがいけないのか?Paypalに侵入されて買い物されてしまった私が説明します。

Paypal acountに侵入されて買い物されてしまったこと。

「ちゃんとアンチウィルスソフト入れてるし。」
「パスワードは意味をなさない文字と記号。他人は予想できるはずがない。」
「心配だから、大きい信頼できるプラットホームでしか買い物しない。」

私も同じ。しかし、当時、幾つかのパスワードを共通にしていたのが問題を引き起こした。

数年前の話ではあるが、ここに残しておきたい。

きっかけは、e-Bay

2014年、アメリカのe-Bayに何者かが侵入し、情報を盗む、という事件が起こった。私は、その1年前くらいにe-Bayに登録していたが、登録のみで使っていなかった。

e-Bayからは“Passwordを変更するように”というメールでの呼びかけがあり、(使ってないけどな・・)と思いながらもPasswordを変更。しかし、全然使っていなかったため、当初のPasswordも忘れていたくらいだった。

Facebookに中国からのアクセス

しばらく経ったある日、Facebookから警告のメールを受け取る。Facebookに海外からアクセスがあったので、自分でない場合はPasswordを変更するように、と。

アクセス場所は、中国の吉林省

当時Facebookはほとんど使用していなかったのですぐに気づき、急いでPasswordを変更し、事なきを得た。

Paypalで買い物された

Facebookの件からまたしばらく経った、会社の有給休暇を取った平日の朝。何の気なしにメールを見ると、30分前に、Paypalから「Facebook, Inc.様へのお支払いのご連絡」という標題のメールが来ているのに気づく。

Paypalは昔何かの時に、それしか支払い方法がなくて一度使っただけ。それ以来使っていない。
30分前は、まだ寝ていたし、そもそもFacebookの広告など買わない。しかも金額はドルで、$256.65である。

Paypalに報告

驚いてPaypalのHPにアクセスし、カスタマーサポートへの連絡のメニューを探すと、問題解決センターの「心当たりのない支払いがある」という専用のメニューがあり、そこから報告。

そこのメニューでは、Passwordの変更もセットになっていたのでそれも実施。個人のアカウント内でトラブル報告の履歴が記載され、Statusが表示される。

当日の19時頃、Paypalより「取引調査中」のメールが来る。

未承認取引のクレームに関するペイパル調査

先日、お客様にお心当たりがないか、同意なしに取引が行われたという報告をいただきました。当社では、現在、次の取引を調査中です。
異議対象取引の詳細・・・

お金が戻ってきた

そして翌日の朝10時半、Paypalより、解決のメールが入り、支払いはストップされた。

請求処理規約の取り消しの確認

このメールは、お客様がFacebook, Inc.様との請求処理規約を取り消されたことを確認するものです。今後このマーチャントに対してお客様のPaypalアカウントから支払いが行われることはありません。この規約に関してさらに質問がある場合や、規約を復活したい場合は直接Facebook, Inc.様にお問い合わせください。

以上が事の顛末である。

つまり、整理すると、①e-Bay、 Facebook、 Paypal、の殆ど使わないIDとパスワードが同じだった。②e-Bayの情報が盗まれた。e-Bayのパスワードは変更したが、パスワードを管理していなかったため、それがFacebook、Paypalと同じということに気づかなかった。③Facebook、Paypalに侵入された。
ということ。

「バーカ」と思うだろうが、以下にこの時学んだことを書いておく。

なぜパスワードの使い回しはいけないのか?

パスワードの使い回しがいけないことは有名だが、それがなぜだか明確に言えるだろうか?

人から想定されないようなパスワードを使っていても、アンチウィルスソフトを入れていても、変なサイトにアクセスしないように気を付けていても、それで100%安全なわけではない。

どこかのサイトに登録した情報が盗まれることは自分では避けようがないからだ。“どこにも登録しない”ということは現代では非現実的だろう。

パスワードの使い回しをしないこと=被害を最小限におさえる ことである。

つまり、この注意は、“企業が対策をとっていても、情報が盗まれることはありうる”ことを前提にした注意なのだ。

この時運が良かったのは、登録メールアドレスへのパスワードは違っていたこと。ここでメールに入られてしまったら、犯人にパスワードを変更されてアカウントを完全に取られてしまう。

パスワードの変更の際,本人確認のためにメールを送るのが一般的なので、自分の基幹メールアドレスのパスワードには特に注意したい。

使っていないIDはないか?

e-BayとPaypalは、ずいぶん前に登録して、当時長期間使っていなかった。使っていないIDは、削除するか、ちゃんと管理をしておくこと。

犯人は悟られないように犯行をする。メールチェックは大切。

e-Bayから情報が盗まれたのは2014年3月、Facebookに中国からログインされたのは5月、Paypalで買い物をされたのは9月。
盗んだのは3月でも、犯人は5月、9月と数か月あけてログインしている。悟られないよう当人が忘れたころに犯行をしているのだ。

そして、買い物された金額は$256.65と少額で、カード利用の多い人なら見過ごしてしまう金額

犯人は、この買い物がうまく行っていたら、毎月使ったに違いない。

カード会社の明細チェックはもちろんだが、やはりメールのチェックは重要だ。この時は、偶然、犯行の30分後に見つけてすぐに報告したため、翌日の朝には解決した。

こういう犯行は多い

上に貼ったPaypalに専用のメニューがあることでもわかるように、こういった事例は多い。(本人が恥ずかしくて言わないだけで。)

いわゆる、”まさか自分が!”というアレである。乗っ取りなどで友人に被害が及ばなかったのがせめてもの救いである。

また、Paypalの購入者保護の手厚さにも助けられた。Facebook, Inc.がもし既に犯人にサービス提供を行っていたとしても、その損失はFacebook, Inc.が負担したのである。(申し出る期間などに制限はある。)

金銭的な被害はなかったものの、精神的に疲れたこの時のこと。
パスワードの管理方法の工夫(KeePassなどpassword管理ソフトの使用:KeePassはこれが詳しいみたい)や、二段階認証をするなど、ITに強い人の発信に注意して、自分なりの対策を講じておきたい。

この記事を読んでいる方は、こんな記事も読んでいます。



Photo credit: Skley via VisualHunt / CC BY-ND

この記事が気に入ったら
「いいね !」 お願いします!役立つ情報をお届けします。

関連記事(広告含む)