どのサイトでも同じIDとパスワードにしていると、流出時に悪用されやすい。今回の流出元も楽天ではない

写真拡大

不正に入手した他人のIDとパスワードで、通販サイトでの買い物でためたポイントが盗まれるという事件が波紋を呼んでいる。

被害に遭ったのは大手通販サイト「楽天市場」のユーザー。楽天市場では買い物時にポイントがつく。このポイントは次回の買い物で1ポイントあたり1円として使用できる。

そして、楽天市場は今年5月10日から8月9日の期間限定で、ポイントを電子マネーの「Edy」に交換するサービスを実施していた。

これに目をつけたのが岐阜県各務原(かかみがはら)市の中国籍の大学生、孫路路容疑者(24歳)、王臣容疑者(25歳)のふたりだった。

ふたりはそれぞれのパソコンに80万件分、計160万件のIDとパスワードの組み合わせデータを持っており、それを悪用して楽天市場不正アクセスし、兵庫県尼崎市の男性(41歳)の8431円相当のポイントを電子マネーに交換し、自分のものにしていたのだ。

警察の調べによると、ふたりは同じ手口で「これまでに250人から300万円分の楽天ポイントを盗んだ」と供述しているのだとか。

でも、ちょっと待てよ。日本を代表する通販サイトで、160万件ものIDとパスワード情報が流出したのなら、もっと大騒ぎになってもいいはず……。

ところが、楽天周辺でそんな騒動は起きていない。いったい、どういうこと?

兵庫県警と合同で捜査にあたった岐阜県警の担当者が説明する。

「ふたりが入手した約160万件のIDとパスワードは、すべて楽天から流出したものではありません。彼らはネット上でかき集められた不特定多数のサイトのIDとパスワードを、ネットで知り合った中国人から6万5000円で購入したと話しています」

そして、その膨大なパスワードとIDを一件ずつ楽天市場のログイン画面に入力し、アクセス可能となったうちの250人からポイントを電子マネーに交換、盗んだらしいのだ。さらに恐ろしいことには、ふたりが不正に入手したIDとパスワードの組み合わせのうち、2万5000件が楽天市場にログイン可能だったという。

異なるIDやパスワードを設定する煩わしさから、ひとつのIDやパスワードで複数サイトを利用するケースは珍しくない。犯人はそうした利用者の油断につけ込み、“ダメもと”で楽天市場にアクセストライを続けていたのだ。

楽天にしてみれば、自社からIDやパスワード情報が流出したわけではない。被害者からの申し立てがないかぎり、何も異変には気づけない。

サイバー犯罪に詳しい神戸大学大学院工学研究科の森井昌克教授が警告する。

「中国ではネット犯罪に対する倫理意識がまだまだ薄く、ふたりの中国人留学生も大したことではないと、軽い気持ちで不正アクセスに手を染めたのでしょう。中国では不正に入手された膨大な量のIDやパスワードが、よく数万円ほどの値段で売買されています。

おそらく今回の不正データは楽天のような大手ではなく、小さな通販サイトやお金絡みでない会員サイトから流出したり、盗まれたものをまとめたものなのでしょう。被害に遭わない方法はただひとつ。ネット銀行口座や通販サイトなど、お金が絡むサイトでは、面倒くさくてもアクセスIDやパスワードをひとつひとつ変えるしかありません」

なるほど。容疑者のふたりは「大学での専攻はITなどとはまったく関係のないもの」(岐阜県警)で、ハッキングの知識は乏しかった。それでも300万円分の電子マネーを盗むことができた。

重要なIDやパスワードは現金と同じ。メモして金庫に保管するくらいの用心が必要ってことか。

(取材/ボールルーム)