ドラッグストア大手「サンドラッグ」(東京)のアプリの他人のアカウントに不正にアクセスして商品を購入したなどとして、警視庁サイバー犯罪対策課は2日、中国籍で無職の李琛容疑者(21)=大阪市中央区道頓堀1=を詐欺と不正アクセス禁止法違反の疑いで逮捕したと発表した。
逮捕容疑は2022年7月、埼玉県の30代女性のアカウントに不正にログインし、大阪府内の店舗で女性が保有するポイントを使って化粧品など計33点(販売価格約6万8000円)をだまし取ったとしている。
同社は22年7月、別のネットサービスから流出したIDとパスワードを使って不正ログインを試みる「リスト型攻撃」の被害を受け、公式アプリのアカウント約1万9000件が不正にログインされたと発表していた。同課によると、李容疑者らのグループはそれらのアカウント情報を悪用して商品を購入していたという。
事業者からインターネットに流出した顧客などのIDとパスワード情報を使って不正ログインを試みる犯罪は「リスト型攻撃」と呼ばれ、利用者がパスワードを使い回す特性を悪用している。警視庁サイバー犯罪対策課は「情報が漏れた場合に複数のサービスに不正ログインされる危険性がある。アカウントごとにパスワードを使い分けてほしい」と呼びかける。
リスト型攻撃の手法は10年ほど前から横行しているとみられる。パスワードによく使われる文字列を使ってログインを試す「辞書攻撃」とは異なり、実際に別のサイトで使われているIDとパスワードの組み合わせを使うため、効率良くログインできるのが特徴だという。情報セキュリティー会社「トレンドマイクロ」によると、2022年には国内で少なくとも6件のリスト型攻撃とみられる被害が確認された。
ネット利用者の多くは複数のサイトで同じパスワードを使い回している。トレンドマイクロが20年8月に実施したウェブアンケートによると、回答した515人のうち、「パスワードを使い回している」と答えたのは85・7%に上った。
同社シニアスペシャリストの高橋昌也さんは「複雑なパスワードを自動的に生成する機能や、パスワード管理ツールを活用するなどして対策を取り、被害に遭わないようにしてほしい」と話した。【高井瞳】
大谷翔平・野球ニュース