KDDI(au)決済システム不正アクセス(ハッキング)の方法や手口は?守るための対策は?

不正アクセス,山口,au

本日KDDI(au)の代金決済システム(auかんたん決済)に不正アクセス(ハッキング)して、1000万円を稼いだ容疑で山口雄生(やまぐち ゆうき)容疑者が逮捕されました。21歳というから驚きですね。

一体どんな手口で1000万円を稼いだのでしょうか?auの代金決済システムが不正アクセスを受けたということですが、私もauを使っており、被害は受けないのでしょうか?

気になったので山口容疑者が使った不正アクセス・ハッキングの手口や方法、手段を調べてみました。また、このような被害を受けないための対策も最後に記載しております。

スポンサーリンク

不正アクセスの方法はパスワードのハッキング?

JNNの取材で山口容疑者が下記のように語っていることが分かったそうです。

山口容疑者は「全国のおよそ250人のIDやパスワードを使って、不正にアクセスした」と容疑を認めているということです。

(参照元:http://headlines.yahoo.co.jp/videonews/jnn?a=20161107-00000061-jnn-soci)

なんと全国で250人ものユーザのパスワードを知っていたようです。そのパスワードを不正に使用して今回の事件を起こしたようです。

ここで気になるのが、下記のような疑問だと思います。

  1. 山口容疑者はどうやってパスワードを入手したのでしょうか?
  2. KDDIの代金決済システムとは何のことでしょうか?
  3. どうやって不正に稼いでいたのか?
  4. 私たちに被害はないのか?

以下一つずつ見てみます。

どうやってパスワードを入手したのか?

今のところは詳しい報道は出ていませんが、私はおそらく総当たりでパスワードをハッキングしていったのだと思います。

おそらくハッキングの手口としては、ひたすらパスワードを入力していって総当たりをしたのだと思います。

下記に紹介しますが、おそらくハッキング対象のシステムはauの「auかんたん決済」です。ここでは、ログインIDとパスワードが必要になるのですが、ログインIDは簡単に把握することができます。

それは、auIDのログインIDは電話番号だからです。しかも、今では携帯の番号を入力すれば、どこのキャリアの携帯番号かわかるサイトがあります。

そのサイトで適当な携帯番号を打ち込んでヒットした携帯番号がauだった場合に、そのIDを使って、後はパスワードをひたすら入力してパスワードが合えば、そのアカウントを乗っ取ることができます。

このパスワード入力も、数回間違えると、BOTと判定されるのか「文字入力」を求められます。例えば、パスワード入力後に下記に表示されているひらがな5文字を入力してください。のようなものです。

それさえ正しく入力すれば、何回もパスワードを間違えても問題ありません。私が自分の携帯番号で試したところ、10回間違えてもまだパスワードを続けて入力することができました。

しかし、このauIDのパスワードだけでなく、もう一つの暗証番号を入力しなくては代金決済は完了しません。

といっても、auを契約されている方はご存知だと思いますが、この時に入力する暗証番号は携帯契約時に決めた4桁の番号です。

4桁なのでここはある程度の類推で突破できる可能性があります。

KDDI(au)の代金決済システムとは何か?

これはauが提供している「auかんたん決済」というシステムだと思います。これは、auのIDとパスワードがあれば、それを入力して購入した商品を翌月以降の携帯代と一緒に支払えるサービスです。

この「auかんたん決済」の利用のときに必要な情報は下記の3つです。

  1. auIDのログインID
  2. auIDのパスワード
  3. auの暗証番号(4桁)

この3つの情報を上記の手段で知られてしまえば、勝手にこのシステムで決済をされてしまいます。

後述する「2段階認証」を設定されていれば、この3つがばれても問題ないようです。

自分が買った覚えのないものがauの電話代に加算されて請求されてきます。電話代の細かい明細はあまり見ない方も多いと思いますので、少しずつされていたら気づかないかもしれません。

どうやって不正に稼いでいたのか?

おそらく、ポイント系のサイトを使ったのでしょう。アフィリエイトの一種で「ポイントサイトアフィリエイト」というものがあります。それを使って稼いでいたと私は思います。

ポイントサイトアフィリエイトとは、ポイントサイトのホームページ上で、ある有料や無料のサイトの登録リンクがあり、そこから登録した場合、そのポイントサイトからいくらもらえるというようなものです。

スマホゲームをされる方は経験があると思いますが、よく無料でゲーム内コインがxxxxx円分もらえる!といった広告を見かけたことがないでしょうか?

その先にいくと、このサイトに登録すればxxx円分コインゲットというようなものがありますが、これがポイントサイトアフィリエイトです。

これを自分のお金で登録したのではなく、盗んだアカウントで登録をして、そのポイントサイトからの収益で1000万円を稼いでいたと思います。

私たちに被害はないのか?被害にあわない方法

今回250人のパスワードが奪われていたということですが、他のauユーザに被害はないのでしょうか?また今後もないといえるのでしょうか?

これに関しては、私はauが推奨する対策をしっかりと取っていれば、このような被害には合わないと思います。

同じような不正アクセスの被害にあわないためには、auが推奨している「2段階認証」を設定してください。

この「2段階認証」をしていれば、決済のときにEメールかCメールでメールがきて、そこで承認すれば初めて決済が行えるようになります。

ですから、たとえパスワードがばれても自分の携帯電話が取られない限りは問題ないシステムのようです。

下記にauが設定方法を公開していますので、ぜひこの機会に設定されてはいかがでしょうか?

2段階認証の設定方法はこちら!

不正アクセスは今後増えるのか?

今回はKDDI(au)の「auかんたん決済」サービスが不正アクセスでハッキングされてしまいました。

容疑者も21歳の若者ということで話題になっています。以前にもこのように若者がハッキングを成功させるという事件がありました。

昔と違って、いまはインターネットが普通の世の中になり、若者ほど身近になりました。twitterでは中高生発信の情報がトレンドになることもしばしばあります。

今後はデジタルに習熟した人が増えてくるので、もしかするとこういう事件が増えるかもしれませんね。

セキュリティに関してはハッカーとのいたちごっこが続いており、個人レベルでも対策はしっかりしておかないと、

こういった事件に巻き込まれる可能性があるので、日ごろからセキュリティのことを調べておくことも大切だと私も実感しました。

スポンサーリンク

SNSでもご購読できます。

コメントを残す

*