• 認証
  • あなたの会社も狙われている?「パスワードリスト攻撃」から自社を守る方法とは

あなたの会社も狙われている?
「パスワードリスト攻撃」から自社を守る方法とは

2013年頃から、日本国内でサービスを提供しているWebサイトにおいて相次いで不正ログインの被害が発生しています。これらの被害のほとんどは「パスワードリスト攻撃」と呼ばれる手法が用いられていていますが、「パスワードリスト攻撃」については、具体的な手口や対策についてはあまり知られていないのが現状です。そこで今回は、現在猛威を振るっている「パスワードリスト攻撃」の具体的な内容と、その対策について中心にご説明したいと思います。

成功率は従来の100倍以上?「パスワードリスト攻撃」の脅威

「パスワードリスト攻撃」とは、何らかの方法(不正アクセス、情報窃取目的のウイルスへの感染、内部不正など)により事前に入手した大量のIDとパスワードのリストを利用して、第三者が本人になりすましWebサイトへの不正なログインを試みるという攻撃手法のことを指し、「アカウントリスト攻撃」や「リスト型アカウントハッキング」とも呼ばれます。 IDに対して、考えられるパスワードのすべての組合せを試す「ブルートフォース攻撃」、「辞書攻撃」などと比べて、「パスワードリスト攻撃」は、1 ID当たりの試行回数が少ないのですが、不正アクセスの成功率が極めて高いことが特徴です。「パスワードリスト攻撃」は、「ブルートフォース攻撃」の100倍以上の確率で成功してしまったという報告もあります。

「パスワードリスト攻撃」の手口と被害事例

■「パスワードリスト攻撃」が発生するのはなぜ?

「パスワードリスト攻撃」が行われるのはなぜでしょうか?「パスワードリスト攻撃」は、複数のサービスで同じIDとパスワードの組合せを使い回しているユーザーを狙った攻撃であり、ID、パスワードなどのアカウント情報をリスト化し、そのリストを利用して一気に多数のアカウントに攻撃をしかけます。アカウント情報が外部に流出すること自体がそもそも問題なのですが、残念ながら、サイト管理者側がどんなに対策を行っても、攻撃者により巧妙な手口で窃取されてしまう可能性をゼロにすることはできません。またユーザーが同一パスワードを使い回すことを制限することも難しいのが現状です。さらにパスワードの使い回しをしていないはずなのに不正にログインされてしまったという事例も報告されています。ユーザーが数年前に使っていたが既に使わなくなったサービスのパスワードを現在利用中の別のサービスで使っている場合においても、「パスワードリスト攻撃」の被害を受けるリスクが高まります。

■ 情報漏えいが更なる情報漏洩の原因に

「パスワードリスト攻撃」が起こりやすいタイミングの一つとして、大規模な情報漏えいが発生してしまった場合が挙げられます。一度大量の情報が流出すると、それらの情報を元にIDやパスワードを推測し、パスワードリスト攻撃が活性化します。他社の情報漏えいを通じて、自社の情報漏えいのリスクが高まることを認識することが必要です。

■ 被害事例

「パスワードリスト攻撃」が成功すると、本人になりすました第三者によって、システムやサービスにログインされ、アカウントの乗っ取りやサービスが不正に利用されます。個人情報などの登録情報の窃取や改ざんのほか、商品の購入、ポイントサービスの利用など、金銭的な被害が発生するおそれもあります。

<実際の「パスワードリスト攻撃」による代表的な被害事例>

実際の被害事例として以下の事例が挙げられます。

・「Yahoo! JAPANに不正アクセス、最大2200万件のID情報流出の可能性」

2013年、Yahoo! JAPANのサーバーに外部から不正アクセスがあり、最大で2200万件のIDが抽出され、不可逆暗号化されたパスワードや、パスワード再設定用の情報の一部が流出しました。

「パスワードリスト攻撃」に対してどのように対策すべきか?

では、「パスワードリスト攻撃」に対してどのような対策を講じればよいのでしょうか?これまでご説明したように、アカウント情報が流出する可能性をゼロにすることはできないため、ユーザーとサイト管理者(サービス運営者)がそれぞれ対策を講じる必要があります。 ユーザー側の対策については、独立行政法人 情報処理推進機構が、「すべてのインターネットサービスで異なるパスワードを設定」することなどを呼び掛けています。しかし、上述したように、ユーザーは、サービスごとにログインID、パスワードを使い分けることに煩雑さを感じており、同一のパスワードを使い回していることが多いので、注意を喚起するだけでは不十分です。

そこでサイト管理者側はユーザーによる同一パスワードの使い回しを根絶できないことを前提とした対策が求められます。例えば、「二段階認証」や「二要素認証」、ユーザーの行動を分析することにより異常行動を発見した場合に行う追加認証、パスワード試行の回数や間違いの回数などの監視、ユーザーが自分のログイン履歴を確認できる仕組みの提供などの防御策を採ることが挙げられます。しかし、これらは、ユーザー側の負担が大きくなったり、サイト管理者側のコストが大きくなったりする場合があります。そのような課題を持つサイト管理者様に対し、エントラストでは各サイト管理者様のニーズに合わせた最適なパスワードリスト攻撃対策ソリューションをご提供することが可能です。エントラストのソリューションは、世界中の金融機関、企業及び政府機関で豊富な導入実績があり、高く評価されています。パスワードリスト攻撃対策をお考えの方は、是非お気軽にご相談ください!

無料相談・お問い合わせ