続・パスワードの危機 − 実害をもたらすウィルスの可能性

ここ1週間ほどの間にものすごい数のウィルスメールが出回っている。メールチェックするたびにウィルスチェッカーが「このメールはウィルスに感染していたので削除しました」というメッセージをポンポン出してくる状況に辟易する人は少なくないだろう。

Netsky.Qは、感染したPC内の拡張子「.html」や「.doc」「.txt」など、 34種類の拡張子のファイルの中からメールアドレスを収集し、独自のSMTPエンジンを用いて自分自身を添付し、感染拡大を図る。
ウイルス「Netsky.Q」の追加情報を公開(InternetWatch 2004/3)

しかし、メールで自身の感染を拡大させる「だけ」の機能を持っているウイルスばかりではない。

Mydoomは2月1日から2月12日にかけて「www.sco.com」に対してDoS攻撃を仕掛けるようプログラムされている。そのためにMydoomは、感染したPCの中にSCOのWebサイトに対してHTTPのGETリクエストを送信する64のスレッドを作り出す。
Mydoomの感染速度は過去最大級(InternetWatch 2004/1)

簡単に言うと、ウイルスに感染したたくさんのパソコンが自動的にに特定のWebサイトにアクセスすることで、そのWebサイトをパンクさせて業務妨害するという機能だ。同種のウイルスは過去にも何度も出現した。

ここで、想像力を広げてみよう。もしも、コンピュータウィルスが、パソコンの中の種々のファイルやメールソフト上にあるメールの中から、メールアドレスを収集するついでに「パスワード」という単語を含むメールやファイルも収集して、それらを添付ファイルでばらまくような機能を持っていたら？

このようなウイルスを作ることは技術的にはまったく難しくない。赤の他人のパスワードが自分のもとに続々と届き、自分のパスワードもどこの誰に知られたのかわからない。背筋も凍る、そんな状況が待っている。

最近、あるソフトウェア販売サイトで会員登録をしたら、次のようなメールが来た。

件名：○○会員パスワードのお知らせ

このたびは○○サービスのご利用ありがとうございました。

会員登録のご希望をいただきましたので、
「○○会員パスワード」をお送りします。

会員メールアドレス : xxxxx@example.com
会員パスワード     : abcde123
会員用ページ（登録内容の変更など）:
http://www.example.com/*****/*****/index.html

もしも上にあげたようなウイルスが実在することになれば、このメールは格好のターゲットだ。似たようなメールは皆さんのメールソフト上にいまもたくさん保存されているのではないだろうか？

会員番号とパスワードを別々のメールで送る、という方式をとっているところもある（確か紀伊国屋bookwebがそうだったような・・・）。しかし、パスワードがナマでメール上に書かれていることに変わりは無く、気休めでしかない。

ちなみに、パスワードの危機(その５) − アマゾンの場合で紹介したような、時限式ワンタイムURLをメールで伝える方式であれば、こうした状況であっても安全性はかなり高いだろう。そこに書かれているのは「パスワード」という単語だけであって パスワードそのものはそこには無いのだから。