パスワード管理が対策の基本

なりすましとは?

「なりすまし」とは、他人のIDやパスワードなどを盗み悪用し、その人のふりをしてネットワーク上で活動することです。具体的には、他人のIDとパスワードを使ってインターネットに接続したり、Eメールを送ったり、企業のネットワークに侵入して情報を盗み出すなどの行為を指します。なりすましのアクセス先がオンラインショッピングサイトやオークションサイトの場合は、悪意のある第三者がお客様になりすまして高額な商品を購入し、お客様にその請求が来るというケースもあります。

なりすましによる被害

「なりすまし」は不正アクセス(※1)の一種ですが、ある調査(※2)によれば、2006年1月~6月の不正アクセス届出件数71件のうち、ID・パスワードの不備が原因である被害件数は24件(全体の34%)でした。2004年は約13%、2005年は約24%ですので、年々不正アクセスにおける「なりすまし」被害の割合が増加していることがわかります。
IDはサービスの提供者側が決定し、お客様が変更できない場合も多いので、利用者側からするとパスワードを推測困難なものにすることが唯一の防衛手段です。

  1. 不正アクセス:ネットワークを経由して、他のコンピューターに許可なく侵入する行為のことで、「IDやパスワードなどの盗難によるなりすまし」と「コンピューターのセキュリティホールをついた不正侵入」の2種類があります。
  2. 独立行政法人 情報処理推進機構 「コンピューターウイルス・不正アクセスの届出状況[6月分および上半期]について」の調査

パスワードは必ず割り出される?!

パスワードを自動的に割り出すことのできるツールも数多く存在します。
これらのツールの中には、あるルールにしたがって総当りで試行したり、辞書や人名などのワードリストに照らしあわせたり、ワードリストの一部を似た文字にして試行したり(「suzuki」をもとに「sUzuki」や「suzuk!」で試す)、ワードリストを逆順にしたり(「suzuki」をもとに「ikuzus」で試す)、ワードリストの末尾に何らかの文字を付加したり(「suzuki」をもとに「suzuki1」を試す)するなど、かなり高機能なものもあります。

悪意のある第三者にとって、なりすましは最も簡単な手口です。

なりすまし予防対策

なりすましによる被害を予防するためには、IDやパスワードの管理をしっかり行なうことが大切です。

ブラウザのオートコンプリート機能をOFFにしましょう

ブラウザのオートコンプリート機能とは、ID・パスワードなどの入力をするWEBサイトにおいて、その入力内容をブラウザに記憶させておく機能です。この機能を利用すると、過去に入力したID・パスワードが自動的に入力されるので便利ですが、そのパソコンで悪意のある第三者が同じWEBサイトにアクセスすると、お客様のID・パスワードが自動的に入力されるので、お客様になりすましてログインできてしまいます。

悪意のある第三者がログインできてしまうと、不正にショッピングされたり、個人情報を盗まれたりする可能性があるので、オートコンプリート機能はOFFにしましょう。また、必ずその履歴をクリアしておきましょう。

オートコンプリート機能のOFFの仕方、履歴のクリアの仕方(Internet Explorerの場合)

  • プラウザでID・パスワード入力時に、ID・パスワード保存に関する案内が表示された場合、「いいえ」または「このサイトでは保存しない」を押してください。

他人がわかりにくいパスワードを設定しましょう

MUFGカードWEBサービスのパスワードを他人に推測され、不正にログインされる場合があります。次のようなパスワードを登録されている方は至急、変更しましょう。

生年月日

例) 昭和51年(1976年)8月6日の場合、19760806,510806など

ご自宅の電話番号

例) 03-3242-3611の場合、32423611など

ご自宅の住所の地番

例) 「○○県××市△△町42-81-101」の場合、4281101など

ご自身の車のナンバー

例) 「○○ 502 た 9783」の場合、5029783など

単純な数字の昇順、降順

例) 12345678、987654など

自分および自分の知っている人(配偶者、友人、ペット、有名人など)の名前や愛称
よく使われる英単語

例) test、loginなど

パスワードをしっかり管理しましょう

WEBサービスのパスワードを第三者に知られないよう、以下のことに気をつけてください。

  • クレジットカードや手帳など、第三者に見られやすい場所に書き留めたりメモなどに残さないでください。
  • 第三者にパスワードを絶対に教えないでください。クレジットカード会社や金融機関、警察などの機関であっても、電話やメールなどでパスワードを聞くことは絶対にありません。
  • パスワードを入力時に他人に見られないようにしてください。
  • WEBサービスのパスワードはカードの暗証番号と同様ご本人様を確認する重要な情報です。類推されやすいパスワードや、他のインターネットサービスと同じパスワードのご使用はお避けください。

WEBサービスのID・パスワードの取扱いに関するご注意とお願い新しいタブやウィンドウで開く

パスワードは定期的に変更しましょう

パスワードの変更方法

ID・パスワードは会員専用WEBサービスにてご変更できます。

WEBサービスご利用後はログアウトしましょう

ログイン状態のままパソコンを放置すると、離席時に、悪意のある第三者に利用されてしまう可能性があります。ご利用後は画面右上の「ログアウト」ボタンをクリックしてログアウトし、ブラウザを閉じてください。
例)MUFGカード会員の方

  • Microsoft Corporationのガイドラインにしたがって画面写真を使用しています