しかしネットワークを介して行なわれる電子商取引では、そのような直接的な方法による確認を行なうことができないため、正当な本人でない第3者が本人になりすまして不正を行なう可能性がある。このような行為をなりすましと呼ぶ。
例えば、悪意の第三者が、不正に入手した他人のクレジットカード番号等を利用することにより、他人になりすまして商取引を行ったり、他人のパスワードを使ってプロバイダーを利用することは、なりすましの一例である。
このようななりすましによる不正行為は、単純なID/パスワードやクレジットカード番号のみにより本人確認を行なっていることが原因になることが多い。そこで、デジタル署名や生体認証技術などの、より高度な認証技術を利用することがなりすまし防止の手段となる。
○ 過去の事例
1990年、米国において、クレジットカード会社に侵入し、高額所得者のクレジットカード番号を入手した上で、これを使用して金貨など換金性の高い商品が大量に購入された例がある。
また、国内では、1996年に京都の高校生が商用パソコン通信の個人IDとパスワードを不正に入手し、その他人のIDでわいせつ画像の販売広告を出していた事例がある。この高校生は、わいせつ画像の販売代金の振り込み先も、不正に入手した他人名義の口座を利用していた。
(6) クラッキング(システム侵入)
○ パスワードアタック
UNIXに代表される現在のコンピュータシステムのほとんどは、固定的なパスワードシステムに基づいている。これは、正当なユーザー本人しか知らない8文字程度の文字列の入力を求めることで、本人確認を行うものである。
ディスク、CPUなどのシステム資源への利用権限はすべてパスワードに依存しているため、パスワードを悪意ある者に知られるとその危険性は大きい。
パスワードアタックの手法はオンライン攻撃とオフライン攻撃に分けられる。
