不正ログインで逮捕

 警視庁サイバー犯罪対策課は、他人のIDとパスワードを使用して楽天市場などににログインし、他人のクレジットカード情報を使用して商品を購入したとして、1月22日に川崎市多摩区の20歳の容疑者を逮捕しました。

 容疑者は容疑を認めており、「ほかにも他人のカードで買い物した。総額は多すぎて見当もつかない」と供述しているそうです。

 容疑者はまず、、ウェブサイトで使われているデータベースを処理する際に、不正なコードなどを入れることにより、情報を盗み取ったり、書き換えたりする攻撃「SQLインジェクション」によってご当地グルメを扱う会員制サイトからユーザーのIDとパスワードを入手。次に取得したIDとパスワードを使って他のサイトへのログインを試みる、「パスワードリスト攻撃」で不正にログインしたと見られます。

 SQLインジェクションは古典的な攻撃手法ですが、不備のあるウェブサイトが多く、ある調査によると今も4番目に多い攻撃手法だと言われます。
 パスワードリスト攻撃も良く知られた攻撃手法ですが、こちらは複数のサイトでIDとパスワードを使い回しているユーザーが多く、多くの被害を出しています。

 サイト側とユーザーがしっかり対策を取っていれば、かなりの確率で防ぐ事の出来るサイバー犯罪ですが、一向に減る気配がありません。SQLインジェクション攻撃については、被害に遭った企業が、サイトを制作した業者を相手に訴訟を起こし、2000万円以上の賠償を認めた判決が出た事例もあり、攻撃者だけが責任を負う問題ではありません。