パスワードリスト攻撃とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃です。ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、この攻撃は他の不正アクセスと異なり、正規のログイン方法を試みる手法であるため、プログラムによる検出が難しい点が特徴です。
パスワードリスト攻撃とはサイバー攻撃の一つですが、原因や対策方法がわからない内は不安に思うかもしれません。しかし、正しく対策をすれば大丈夫。今回はパスワードリスト攻撃の原因や正しい対策方法についてお伝えしますので参考にしてください。
この記事の目次
パスワードリスト攻撃とは?
パスワードリスト攻撃とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃です。
ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、攻撃者は実行のために必要なパスワードリストを、ターゲットよりもセキュリティの脆弱なサイトから入手してきます。
他のサイトでも同じID・パスワードの組み合わせを利用している人が、被害に遭いやすい攻撃手法です。
パスワードリスト攻撃の原因とは?
パスワードリスト攻撃が成功してしまう最も大きな原因は、「複数のサイトで同じパスワードを利用してしまう、ユーザーのセキュリティリテラシーの低さ」です。これはECコンテンツにおけるネット顧客の他、企業内の従業員用ウェブサイトにおいても共通し、様々な不正アクセス被害が生じています。
あなたも違うサイトのID/パスワードの設定の際、忘れないようにと「同じID/パスワード」を設定していませんか?これがパスワードリスト攻撃の被害に合ってしまう原因です!
パスワードリスト攻撃は総当たり攻撃とどう違う?
パスワードリスト攻撃は従来型の総当たり攻撃とは異なる攻撃手法です。
従来型の総当たり攻撃は以下の2種ですが、どちらもセキュリティ検出が可能な莫大な数のログイン試行回数を繰り返すため、検出は比較的容易でした。
ですが、パスワードリスト攻撃の場合、ID単位のログイン試行回数はとても少なく、正規アクセスとの判別を行うことが非常に困難です。
【従来型総当たり攻撃の代表例】
ブルートフォースアタック | ツールを使用して、全ての単語を高速で入力し続ける不正アクセス手法。強引に力技でログインを試みる攻撃手法です。 詳細はこちら→ブルートフォースアタック |
---|---|
辞書アタック(辞書攻撃) | パスワードに使われやすい単語を、ツールを使って総当たり方式で入力する不正アクセス手法。 |
パスワードリスト攻撃されるとどうなる?
パスワードリスト攻撃が成功すると、該当アカウントを乗っ取り、本人になりかわって様々な行動が可能です。当然、被害は乗っ取られたアカウントの種別や与えられた権限に依存します。
実際に起きた事件の代表的な被害は以下の通りです。
- ECサイト内のポイントの不正使用
- SNSアカウントの不正使用・不正投稿など
- 個人情報の流出・改ざん及び削除
- 企業秘密の漏洩
- ゲームサイトにおけるアイテムの不正流出
パスワードリスト攻撃被害事例
パスワードリスト攻撃は比較的簡単に行うことができるため、事業規模を問わず様々な場面で悪用されています。被害事例は公表されているものだけでも膨大な件数が存在し、現在最もメジャーなサイバー攻撃の1つです。
ディノス・セシール不正ログイン事件(2015年~2017年)
婦人服販売を手掛けるディノス・セシールのECサイト「セシールオンラインショップ」に対して行われたサイバー攻撃です。犯人は比較的少ないログイン試行で不正アクセスに成功しており、外部から入手したパスワードリスト攻撃と見られています。
また、同ECサイトに対する不正アクセスは9月末(本稿執筆は10月上旬)まで現在進行形で執拗に行われており、標的型攻撃との見方も有力です。一連の攻撃により、サイト内のポイント不正使用や個人情報の流出等、複数の被害が生じ続けています。
関連記事ディノス・セシールでまたも不正アクセス-個人情報閲覧の可能性
ニコニコ動画不正アクセス事件(2014年)
有名動画サイト「ニコニコ動画」にて、不正アクセスが行われた結果、約22万件のアカウント情報の流出可能性が指摘された事件です。
同社の分析では、他社パスワードリストが漏洩した結果起きた事件と認定しており、約17万円分のポイント不正使用が確認されました。
楽天ポイント・龍角散爆買事件(2017年)
元留学生の魏星容疑者が逮捕されたことで、大体的にメディア報道された事件です。魏星容疑者はパスワードリスト攻撃により楽天ポイントやビックカメラポイントを不正入手し、「龍角散ダイレクト」を70万円分購入した疑いが持たれています。
パスワードリスト攻撃の対策
通常サイバー攻撃の対策としては、セキュリティ対策をしっかりと行うなどサービス提供側が行うものがほとんどですが、パスワードリスト攻撃の対策は違います。
パスワードリスト攻撃に対して最も有効な対策は、「ユーザー側に他社ログインパスワードを使いまわさないように注意喚起する」ことです。パスワードを使い回さない。これが最も重要です。
パスワードリスト攻撃は総当たり攻撃と比べてログイン試行回数が少ない上に、アクセス方法自体は正規ルートのものを使用するため、運営者側が不正アクセスを検出することが難しいからです。
パスワードを使いまわさないようにするための対策方法としてIPA/JPCSRTから推奨されているのは下記の3つの方法があります。
参考サイトパスワードリスト攻撃による不正ログイン防止に向けた呼びかけ[IPA/JPCSRT]
IDとパスワードの使い回しにより不正ログインの被害に遭うような事態を招かないため、改めて以下の対策を実施してください。
紙のメモを利用する
IDとパスワードを記載したリストを紙のメモに保持します。IDとパスワードを別々の紙に分けて管理するとより安全です。紙にメモする場合、ネットワーク経由で窃取される危険はありませんが、紙そのものの紛失・盗難の恐れがあります。そのため、第三者が見てもわからないように記載する必要があります。
電子ファイル(パスワード付き)
IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持します。電子ファイルには、表計算ソフトやテキスト編集ソフトを使います。その電子ファイルにパスワードを設定して保存します。パスワードは表計算ソフトの機能でファイルそのものにかける方法と、zipなどの圧縮ファイルにかける方法とがあります。なお、テキスト編集ソフトの場合はファイルにパスワードはかかりませんので、圧縮ファイルでパスワードを設定します。
パスワード管理ソフトを利用する
パスワード管理のための信頼のおける専用ツール(ソフトウェア)を使用し、IDとパスワードを保存します。ツールに、“利用しているサービスの ID・パスワード”と“ツールを起動するためのマスターパスワード”を登録しておきます。そのマスターパスワードだけを覚えておけば、ツールを起動して各サービスのIDとパスワードを呼び出すことができます。また最近ではインターネットサービスの認証まで自動で行うツールもあります。こうしたツールを使うことにより利用者はマスタのパスワードのみを管理すれば良くなり、複数のパスワードを記憶する必要がありません。
下記にパスワードを使い回さないためには必須のパスワード管理ソフトを紹介いたします。どれか一つを利用して、ぜひパスワードの使い回しはやめましょう!
1Password
パスワード管理ソフトの中でも定番ソフトと言われているのが「1Password」です。
1つのマスターパスワードで複数のパスワードを管理できるパソコン、スマホ共通のアプリです。
1つのマスターパスワードでたくさんあるパスワードを管理するのは、どのパスワード管理ソフトにも共通する機能ですが、1Password は複雑で強固なパスワードを自動生成してくれる機能があります。
サイト1Password
価格$2.99/月〜
LastPass
Password Managerにあるパスワードはマスターパスワードで保護、ローカルで暗号化され、他のブラウザと同期されます。
また、ユーザー名とパスワードの入力フォームに対応するそれぞれのユーザー名とパスワードの自動入力や、パスワードの生成、サイトの共有やログ取りも行えます。
サイトLastPass
価格$2/月〜
ロボフォーム(RoboForm)
当記事筆者も使っている「ロボフォーム(RoboForm)」
ログイン情報の管理はもちろんのこと、ログイン情報管理だけでなく、強力なパスワードを自動生成して記憶までしてくれます。
サイトロボフォーム(RoboForm)
価格¥2,400/年〜
上記の3つの方法が、IPAから推奨されている方法ですが、さらに最近多く利用されている「2段階認証」も効果的です。
2段階認証を利用する
ワンタイムパスワードやトークンを用いた2段階認証によるセキュリティ強化も有用です。仮にリスト攻撃による不正ログインが確認されても、被害の発生を抑制することができます。
WordPressなどでも2段階認証を設定する方法があるので、ぜひ参考にしてみてください。
参考サイトWordPressへの2段階認証の導入なら「Google Authenticator」
まとめ
今回は、現在最も広く行われているサイバー攻撃の1つ「パスワードリスト攻撃」について解説しました。他のサイバー攻撃と比べてユーザーの注意力を高める必要がありますから、積極的な注意喚起を行うなどの企業対応が求められます。
リスト攻撃による不正アクセスに成功した場合、犯人が好ターゲットと認識して、標的型攻撃へ移行する可能性も否定できません。標的型攻撃は大きな企業リスクに繋がるため、未然に防ぐことが重要です。