Observing, pondering, and writing about tech. Generally in that order.

DANIEL CONSTANTE / Shutterstock.com

ウォルト・ディズニーは待望の動画ストリーミングサービス「Disney+」を11月12日に立ち上げたが、開設間もないこのサイトからパスワードが流出したことが確認された。しかも、ハッカーたちは奪い取ったパスワードをダークウェブで販売している模様だ。

ニュースサイトZDNetの記者は、複数のアンダーグラウンドのフォーラムでDisney+のアカウントが販売中であることを発見した。しかも、「数千アカウントを一気に販売する」と告知する業者もいる。1アカウントあたりの売値は3ドルから5ドル程度とされている。

この価格は盗まれたネットフリックスのアカウントの販売価格の3〜5倍程度だが、これは開設間もないDisney+の注目度に比例したものと思われる。しかし、ハッカーらはサービス始動からわずか数日のサイトのパスワードを、どうやって盗んだのだろう?

現時点で原因は特定されていないが、背景にあるのは多くのインターネット利用者のセキュリティ意識の低さだ。被害に遭ったユーザーらは、他のサイトと同じパスワードを使いまわしていた可能性が高い。

セキュリティの専門家は以前から度々警告しているが、複数のサイトで同一のパスワードを使いまわすのは、非常に危険な行為だ。しかし、新たなサイトの利用を開始する度に、ユニークなパスワードを生成するのを面倒に思い、パスワードを使いまわす利用者が多いのが現実だ。

今回、Disney+のアカウントを盗み出したハッカーらは、プロのサイバー犯罪者集団である可能性が高い。彼らは数十億件のEメールアドレスと、それに紐づくパスワードのリストを貯蔵しており、自動化されたツールで総当り攻撃と呼ばれるハッキング攻撃をしかける。その結果、パスワードの使いまわしを行っているユーザーのアカウントは、いとも簡単に盗まれてしまう。

利用者にとってさらに厄介なのは、アカウントを盗まれた場合、それを復旧するのが非常に困難になることだ。一部のハッカーは、アカウントに紐付くデバイスを全て削除した上でパスワードを変更し、本来のユーザーがアクセス不能な状態にする。さらに、登録に使用したEメールアドレスまで変えられてしまった場合、サービスにアクセスすらできなくなるケースもある。

Disney+に限らず、新規でウェブサービスに登録する場合は、必ずユニークなパスワードを生成することを推奨したい。パスワードマネージャーなどのツールを利用することが、最善の策といえるだろう。

編集=上田裕資

PICK UP

あなたにおすすめ

合わせて読みたい