事故から学ぶ

TOP > 事故から学ぶ > アカウント情報を自ら教える, パスワードを教える, 不正アクセス > ゲーム代行業の男性逮捕、元顧客の「モンスト」アカウントへ不正アクセス

2018/12/07

ゲーム代行業の男性逮捕、元顧客の「モンスト」アカウントへ不正アクセス

業種	ゲーム代行業
発生時期	2018/5
漏えい人数	1人
事故概要	いわき市に住む会社員のアカウントに不正アクセスしてパスワードを変更。被害者はゲーム代行業を営む容疑者の元顧客であり、容疑者の今後の仕事のために不正アクセスしたと供述しているとのこと。パスワードの入手経路は現時点不明。ゲーム代行業とは、発注者の依頼に従い指定されたアカウントを利用するなどして、ゲーム内の作業を行うサービスで近年はスマートフォン向けゲームで浸透を見せている。サービスの性質上IDやパスワードを伝達を必要とするケースが多く、不正利用やリスト型攻撃による注意が必要とされている。
引用元	サイバーセキュリティ.COM

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
1-3 パソコン利用教育

パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウェブサイトで使いまわしをしないなどのように、強固なパスワードを設定していますか？
パスワードを他人に教えたりしていませんか？

漏えいというよりは被害者自ら意図的にパスワードを相手に告知しているため、本人の自覚の問題である。

あるサービスを受けるためパスワードを教えたが、結果として乗っ取られたということではないだろうか。パスワードの入手経路は不明、としているが一度でもパスワードを教えると、他のパスワードも類推できる可能性が高まる。これは被害者自ら墓穴を掘った事案である。