文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    押切もえさんのメール盗み見た日経社員の手口

     日経新聞社員の男が、タレントの押切もえさんや元NMB48の渡辺美優紀さんのメールなどに不正ログインしたとして逮捕された。携帯電話会社の契約者向けサイトで、押切もえさんの電話番号と推測したパスワードで不正ログインしていたようだ。(ITジャーナリスト・三上洋)

    「単純すぎるパスワード」に潜む危険

    • 押切もえさんへの不正ログイン事件の概要図(筆者作成)
      押切もえさんへの不正ログイン事件の概要図(筆者作成)

     日本経済新聞社の社員(29)が、人気モデルでタレントの押切もえさん、NMB48の元メンバーの渡辺美優紀さん、他に2人の女性に対してメールなどに不正ログインしたとして、警視庁に逮捕された。容疑は、他人のパスワードでログイン(不正アクセス禁止法違反)、パスワードを勝手に変更(私電磁的記録不正作出・同供用)だ。

     読売新聞などの報道によれば、この男は何らかの方法で押切もえさんの電話番号、渡辺美優紀さんのメールアドレスを入手。名前や誕生日などからパスワードを推測して勝手にログインしていたようだ。

     それを可能にしたとみられるのが「単純すぎるパスワード」。容疑者はネットや雑誌でタレントの誕生日などを調べ、名前などと組み合わせてパスワードを推測。手作業でパスワードを入力し、当てようとしたらしい。

     「単純すぎるパスワード」で有名人が不正ログインの被害に遭う事件は、今年1月と5月にも起きた。1月には岐阜県職員の男が、女性アイドル・グラビアタレントなどのメールに不正ログインした事件があった。5月には長澤まさみさんらのFacebookやiCloudが不正ログインされる事件も大きく報道されている。

      参考記事→不正ログインでアイドル被害~PW管理のコツは?:サイバー護身術
     参考記事→長澤まさみさんら被害…iCloud不正ログインの手口と対策:サイバー護身術

     警視庁によれば、容疑者は容疑を認めており「パスワードを突破することに喜びを感じ、ゲーム感覚でしてしまった」と供述している。容疑者は日経新聞のデジタル編成局に勤務しており、電子版などデジタルサービスの企画開発・販売促進などを行っていた。記者や編集担当ではなく、システム担当者に近い立場にあったようだ。

    携帯契約者向けのサイトに

    • ソフトバンクの契約者向けサイト「My SoftBank」
      ソフトバンクの契約者向けサイト「My SoftBank」

     今までも有名人の不正ログイン被害は繰り返し起きているが、今回の事件で特徴的なのは「携帯電話会社の契約者向けサイト」に不正ログインしていることだろう。

     報道によれば、容疑者は押切もえさんの電話番号を何らかの方法で入手した上で、ソフトバンクの契約者向けサイト「My SoftBank」に不正ログインした。「My SoftBank」は、料金プラン・メール設定・住所などを確認したり、変更したりできる契約者向けサイトで、他の携帯電話会社にも同様のサイトがある。

     画像は「My Softbank」のログイン画面だ。ご覧の通り「電話番号」と「パスワード」でログインできるしくみとなっている。携帯電話やスマートフォンだけでなく、パソコンからもログインできる。

     問題は、これらの契約者サイトには個人情報が大量につまっていることだ。登録されている住所、口座番号もしくはクレジットカード(マスクされていると思われる)などの情報がある。また、メールの設定もあり、携帯電話会社のメール(いわゆるキャリアメール)のアドレスやパスワードも確認・変更できる。

    • ソフトバンクのキャリアメールをパソコンで受信できる「S!メール(MMS)どこでもアクセス」
      ソフトバンクのキャリアメールをパソコンで受信できる「S!メール(MMS)どこでもアクセス」

     容疑者はこの契約者向けサイトで、押切もえさんのメールアドレス・パスワードを知り、キャリアメールを読んでいた可能性がある。携帯電話各社は、キャリアメールをパソコンからも読み書きできるサービスを提供しており、ソフトバンクでも「S!メール(MMS)どこでもアクセス」としてパソコンで送受信可能だ。

     さらに容疑者は押切もえさんのGmailアドレスを知り、Gmailを受信するためにパスワードを変更しようとしたのだろう。押切もえさんの元にパスワード変更の通知が届き、不審に思った押切もえさんが警察に相談している(2014年12月)。

     容疑者がパスワード変更をしようとしなければ、押切もえさんはメールが他人に読まれていることを気づかなかっただろう。本人が気づかないうちに、メールが勝手に読まれているのは怖い事態だ。

     なおソフトバンクでは、このような不正ログインへの対策として、2016年5月16日から、「S!メール(MMS)どこでもアクセス」にログインすると、SMSで電話番号あてに通知するしくみを導入している。ログインの度に本人の電話番号にショートメッセージが届くため、不正ログインに気づくことが可能だ。

     今回の事件は2014年12月なので、この対策が導入される以前のことだ。そのため押切もえさんはキャリアメールを勝手に読まれていることに気付いていなかったと思われる。

    NMB48元メンバーはiCloud

     この容疑者は、NMB48元メンバーの渡辺美優紀さんのiCloudへ不正ログインした疑いもある。

     iCloudとは、iPhoneやiPadなどで利用できるクラウドサービスで、インターネット上の自分専用のエリアにデータを保存できるもの。iPhoneでは、初期設定時にバックアップをiCloudに保存するようにうながされるので、多くの人がiCloudにiPhoneのデータを自動保存している。

     渡辺美優紀さんは12月1日に自身のInstagramを更新し、「不正アクセスの件でたくさんご心配ありがとうございます。私は機械音痴なものでiCloudに画像などを保存していませんでした」と述べており、大きな被害はなかったようだ。

     しかし過去にはiCloudへの不正ログインで、iPhoneにあるプライベート写真を見られてしまう被害が出ている。2014年8月には、ハリウッド女優などのiPhoneの写真がiCloud経由で流出した事件もあった。

     iCloudでさらに怖いのはアドレス帳の流出だ。iPhoneのiCloudバックアップでアドレス帳を保存していれば、不正ログインによって友人のメールアドレスや電話番号、Facebookアカウントなどが知られてしまう可能性がある。

     報道によれば、容疑者のスマートフォンには、女優やモデル・アナウンサーなど100件以上の有名人の電話番号・メールアドレスが登録されていたとのこと。入手経路は不明だが、これまでに不正アクセスしたiCloudに保存されていたアドレス帳から、データを抜き取っていた可能性がある。一人やられてしまうと、他の有名人も不正ログインの対象として狙われてしまうわけだ。

     今回の事件について、日本経済新聞社広報室は「被害を受けた方々にご迷惑をおかけしたことをおわび申し上げます。逮捕された社員は当社が保有する顧客の個人情報を犯行に使用していないと認識しています。事実関係を確認し次第、厳正に対処します」などとコメントしている。

     これらの被害に遭わないためには、パスワードを複雑にすることと、使い回しをせずに一つ一つ別のパスワードに設定することが大切だ。詳しい対策は、以前の記事「不正ログインでアイドル被害~PW管理のコツは?:サイバー護身術」にまとめているので参考にしていただきたい。

     (なおこの記事では、他人のID・パスワードで入り込むことを「不正ログイン」と表記している。法律上は「不正アクセス」ではあるが、不正アクセスと聞くとサイバー攻撃やハッキングと誤解される恐れがあり、混同を避けるために「不正ログイン」とした)

    参考記事
    押切もえさんのメール盗み見、日経社員を逮捕:読売新聞
    不正ログインでアイドル被害~PW管理のコツは?:サイバー護身術
    長澤まさみさんら被害…iCloud不正ログインの手口と対策:サイバー護身術

    2016年12月02日 17時24分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP