不正ログインを引き起こしたサイト　事業者と利用者の責任の所在は？：半径300メートルのIT

不正ログインを引き起こしたサイトの事業者と利用者。責任の所在は一体どちらにあるのでしょうか。

　先日、非常に気になるニュースを耳にしました。16歳の少年が、スマートフォンゲームの生配信動画に表示されたバナー通知を悪用し、生配信をしていた男性から個人情報を不正入手したという事件です。少年は、不正入手した個人情報により決済登録を変更し、約11万円を男性からだまし取りました。

　個人情報の入手手口は発表されていないため、ここから先は私の推測です。攻撃者の少年は、既に配信者の男性のIDとパスワードのセットを類推し、2段階認証が設定されているところまで把握していたと思います。生配信中にログインを試行することで、生配信の画面から通知バナーに記載された認証コードを取得し、2段階認証を突破したのではないでしょうか。

　この事件の個人的な注目ポイントは、中間者攻撃など複雑な手段を使わずに、サービス利用者の“不注意”を利用するだけで認証を突破できてしまう可能性があるという点です。しかし、この事件のような不注意による不正ログインが発生してしまった場合「悪いのはサービス利用者」と言い切れるでしょうか。

不正ログインの責任の所在は誰にあるのか？