オンラインショッピングのセキュリティ対策

ショルダーハッキング被害にあった女性の奮闘物語です

会社帰りに立ち寄るいつものカフェ。彼女はいつものようにモバイルパソコンを開きました。ゆっくりとコーヒーを飲みながら、オンラインショッピングを楽しむのが、彼女のささやかな贅沢でした。

その日は、学生時代の友人の誕生日プレゼントを探していました。お気に入りの「ネットショップ」にログインします。IDは個人のメールアドレス、パスワードは生年月日に自分のイニシャルをつけています。このネットショップでは、数字、文字、記号のうち、最低2種をパスワードポリシーとしています。

パスワードポリシーは、パスワード作成時に守るべき基準や条件を定めたもので、基準未満のパスワードを設定できないよう制御する機能も指します。例として「8文字以上」「数字・記号・英字の組み合わせ」などがあります。

「パスワード入力って、面倒だわ～」

そう思いながら、丁寧にキーボードをタッチしました。そのとき、隣席の見知らぬ男性がちらりとこちらを見たような気がしたのですが、気のせいだろうと思い直しました。カフェは混雑しており、テーブルの間隔も狭いのです。

アクセサリーを物色しました。

「これが良さそう！」

ピアスを選び、クレジットカード情報を入力して決済は完了しました。隣席の男性を見ると、スマートフォンを操作してました。特に怪しい様子はありません。彼女はパソコンを閉じ、カフェを後にしました。

それから三日後、彼女のスマホにメールが届きました。それは、ネットショップからの購入完了通知でした。しかし、彼女は何も注文してません。慌ててネットショップにログインし、注文履歴を確認しました。すると、高額なブランドバッグが複数購入されていたのです。ナント総額は十万円を超えてます！

「どういうこと？」

彼女はカスタマーサポートに連絡しました。オペレーターによると、彼女のアカウントから正常にログインされ、登録済みのクレジットカードで決済が行われたとのことでした。

「配送ですがこちらの住所と電話番号を指定してますか？」

オペレーターの伝えた住所は彼女にとって未知の場所でした。

そのとき、彼女は三日前のカフェでの出来事を思い出しました。隣席の男性の視線・・・。

「きっと

が犯人だ！」

彼女はオペレーターとの会話を終えると、配送先として連絡を受けた住所に向かいました。怒りが彼女を支配し、その場であいつの首根っこを捕まえてとっちめてやろうと思いました。学生時代、剣道部に所属していた彼女は体力には自信がありました。

しかし、その住所に確かに建物はあったのですが、ドアを叩いても誰も住んでいない様子でした。犯人もそう易々と、身元を特定されるヘマはしないのでしょう。

彼女は警察に出向きました。そこで警察官に経緯を説明しました。

「最近、カフェやファストフード店での被害が増えています。ショルダーハッキングという手法で、犯人は自然を装って隣に座り、巧妙に画面をのぞき見するんですよ。」

ショルダーハッキングは、実際に人がパスワードや暗証番号の入力しているところを盗み見て、パスワードなどの個人情報を盗み出す手口のこと。 ITを利用せず、アナログな手法で行われる。

警察官は続けて、これは不正アクセス禁止法に抵触する重大な犯罪であることを説明しました。

不正アクセス禁止法は、他人のIDやパスワードを不正に取得・保管したり、脆弱性を悪用するなどして、本来利用できない情報機器やサービスを不正に利用する行為や、それを助長する行為を禁止する法律です。

彼女は警察に被害届を出すことで、クレジットカード会社による金銭的な補償を受けることができそうです。しかし、個人情報が流出した不安と、プライバシーを侵害された屈辱感は簡単に消えるものではありませんでした。

「あと、くれぐれも犯人かもしれないからといって、住んでいるところに押しかけないでくださいね。脅迫やストーカー規制法、住居侵入などの罪になりかねないですよ。」

この事件をきっかけに、彼女はのぞき見防止フィルムをモバイルパソコンに貼り付けることにしました。「壁に耳あり障子に目あり」といいますが、どこで誰が聞いている、見ているかわからないことを痛切に思い知ったのです。また、パスワードも生年月日にニックネームをつけるだけのシンプルなものではなく、数字、文字、記号の複雑な組み合わせにしました。

のぞき見防止フィルムは、ストライプ状に配列された遮光部がフィルムに内蔵され、液晶画面の光がまっすぐ正面に透過する様に調整されています。このため左右、上下からの視野角度が狭くなり液晶画面が見えづらく、のぞき見を防止します。

友人の誕生日。彼女はネットで購入したピアスを渡し、ランチを食べながら、今回の騒動を話しました。そして、ネットショップにログインするパスワードをややこしくしたことを伝えました。

友人は総務の仕事をしていて、会社の情報セキュリティ研修の事務局をしてます。友人は彼女の話を聞きながら、アドバイスしました。

「確かにパスワードを難しいものに変えることは、情報セキュリティ対策として有効だけど、使いまわしをしないことが大切かも。パスワードリスト攻撃の不安があるから。」

パスワードリスト攻撃は、入手したIDとパスワードの組み合わせを使って、複数のサービスへの不正ログインを試みる手法で、他サービスの流出情報でも同じ組み合わせを使い回していれば被害が発生します。

そして、友人は彼女が使用しているネットショップをチェックしました。そこに二要素認証がオプションとして提供されているのを発見し、それを有効にすることを強く勧めました。

二要素認証とは、IDとパスワードによる認証に加えて、もう一つ別の認証要素を組み合わせることで、セキュリティを強化する認証方法です。これにより、パスワードが漏洩した場合でも、不正アクセスを防ぐ効果が期待できます。

「でも、二要素認証って手間がかからない？」

友人は「それもあるわね」と、言いながら、紙に「パスワードの複雑化」と「二要素認証」を比較した表を書きました。

パスワードの複雑化と二要素認証（2FA）の比較
項目	パスワード複雑化	二要素認証（2FA）
セキュリティ効果	高いが、パスワード疲れや覚えにくさが課題	非常に高いが、設定や利用の手間が増える
ユーザー負担	長く複雑で覚えにくい	認証時に追加操作が必要
失敗リスク	忘れると再設定が必要	デバイス紛失やコード未取得でログイン不可
コスト	ほぼゼロ	無料が多いが、専用アプリや機器が必要な場合あり
導入の容易さ	即時変更可能	サービスごとの設定が必要
復旧のしやすさ	容易	リカバリーコードやサポート対応が必要
例	パスワードマネージャーの利用	Google Authenticator、Authyなど