先日、ちょっと気になる“事件”を見かけました。ある人が、PCを遠隔操作するツールを導入し、ユーザー名とパスワードを入力すればリモート操作ができる状態にしていたところ、悪意ある者に勝手にログインされてしまい、そのPCのブラウザに記憶されていたID／パスワードを盗まれてしまったというのです。その結果、AmazonなどのECサイトでギフトカードを不正に購入されてしまったそうです。

・会社のPCを付けっぱなしにしてたらハッキングされてAmazonで50万円分のXboxやらニンテンドーやらのコードを不正購入された件 - Togetterまとめ

この事件の詳細や、「何がいけなかったのか」についてはあえて触れませんが、私はこれを見て、「便利な機能を“簡単に”導入するのは、果たしていいことなのか？」と、あらためて思ったのでした。

ITは簡単になった、しかしそこにはワナが……

ITの世界は今、すごいスピードで進化しています。例えば1980年代のコンピュータは大変高価で、プログラミングができなければ使い物になりませんでした。それが今ではコマンドを打つことなく、プログラミングも不要で誰もが操作できるようになりました。スマートフォン全盛時代となった今では、スマホで使いたい機能があった場合、その機能をググればアプリで多くの機能が手に入ってしまいます。

例えば先の「遠隔操作アプリ」。これは、「Flashが動くPCでしかできないゲームをスマートフォンで遊べるようにしよう」という文脈で、多くの記事やブログが使い方を紹介していました。

しかし、それは“PCにつながるありとあらゆる操作を、遠隔操作アプリを利用するために設定したIDとパスワードにゆだねること”にほかなりません。これには接続しているファイルサーバや、ブラウザに記憶されているパスワードなども含まれることに注意すべきです。会社にVPNでつながるようであれば、会社のネットワークも対象になるかもしれません。

万が一、その遠隔操作のためのパスワードが外部に漏れたとしたら？ 万が一、そのパスワードを使い回ししていたとしたら？ それはもう、恐ろしい事態になるわけです。

1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.