SNSをのっとるには、IDとパスワードが必要だ。そのうちIDを見抜くことは比較的簡単といえる。ツイッターのIDは原則として公開されており、それをヤフー、フェイスブックなど他のSNSで使い回している人が多いからだ。

 ほかにもIDを特定する方法はある。多くのサービスはメールアドレスをIDとして使っているため、「偽のキャンペーンサイトのURLを送りつけて、メールアドレスを入力させるなどの方法がある」(杉浦氏)という。大企業の経営者など著名人であればインタビューなどから好みを把握し、偽のキャンペーンサイトを送りつける。ほとんどの偽サイトは本物と見分けがつかず、騙されたことに気付かない場合もある。

 そのIDを使って、SNSでパスワードの開示を請求したらどうなるか。セキュリティーの低いSNSの中には、生年月日を入力し、「秘密の質問」に答えるだけで、パスワードをあっさり開示する。

 秘密の質問がSNSの乗っ取られる原因になるとして、既に多くのサービスは対策を施している。しかし個人が開発したり、運営企業が倒産したりといった原因でセキュリティレベルが低いまま放置されているネットサービスもある。

 多くの人は、こうしたサービスでパスワードを開示するのに必要な情報を日ごろからツイッターでつぶやいてしまっている。「今日は誕生日、●●歳になりました」と投稿すれば、生年月日がバレる。さらに秘密の質問も、「中学時代に所属していたクラブは?」や「初めて行った外国は?」など、ツイッターでの普段の投稿から答えが類推できるものが少なくない。

売買されるパスワード

 セキュリティの低いSNSよりも問題になっているのが、IDやパスワードを売買している「闇ウェブ」だ。闇ウェブは特殊なツールを使わないとアクセスできないサイトのうち、犯罪などに使われるサイトのことだ。

 闇ウェブの電子商取引(EC)サイトには、クレジットカード番号や麻薬、コンピューターウイルスなど違法な商品が出品される。IDとパスワードもここで売買されている。記者が確認したところ、20万件のIDとパスワードが約1500円で売られていた。本物かどうかは分からないが、IDとパスワードは個人情報の中で安価な商品分類のようだ。

パソコンの機能を停止させて、解除の対価として身代金を要求するコンピューターウイルス「ランサムウェア」も売買されている

 「一般に利用されているIDとパスワードのうち、50%は漏えいしているといわれている」と杉浦氏は話す。仮に自分のID、パスワードが漏えいしていなかったとしても、フェイスブックやLINEの通信相手は2人に1人が他人に乗っ取られる可能性がある。

 SNSを使っていない場合でも安心できない。スマートフォンで位置情報の発信を有効にしていると、Google Mapで過去に訪問した場所や利用した交通手段などが確認できる場合があるからだ。経営者のアカウントが乗っ取られっれば、最近になって訪問回数が増えている取引先や秘密の交友に使っている場所が特定されかねない。

 SNSなどIT関連の管理を詳しい人物に一任するのもおすすめできない。「データを盗みに会社へ入社してくる攻撃者がいる」(杉浦氏)からだ。ITに詳しいからと管理を任せた相手にデータを盗み出される危険がある。

 最低限のセキュリティ対策は、パスワードの使い回しを辞めることだ。利便性は下がるが、SNSの乗っ取りリスクを考えれば致し方ない。