好きな所から読む
7Payのセキュリティ・インシデントで一躍注目を集めたパスワードリスト型攻撃。近年多くのWEBサイトが防ぐべき攻撃でありながら、対策ができていない非常に脅威となっているサイバー攻撃です。今回はパスワードリスト型攻撃について、発生の原因から攻撃の仕組み、必要な対策まで広く解説しました。是非ご覧ください。
⇒パスワードリスト型攻撃に多要素認証で対抗!1IDあたり数百円から実現できる対策の詳細はこちら!
パスワードリスト型攻撃とは?
パスワードリスト攻撃は、別名リスト型攻撃・アカウントリスト攻撃とも呼ばれ、第三者が何らかの方法によりID・パスワードをあらかじめ入手し、そのIDとパスワードを利用して別のサイトなどで不正ログインを行うものです。IDやパスワードが同じ組み合わせで複数のサイトで使用する人が多く、そのためにパスワードリスト攻撃の成功率が高くなってしまうということなのです。
独立行政法人情報処理推進機構(IPA)や警察庁から注意喚起がされていましたが、2013年にパスワードリスト攻撃によって国内の大手オンラインショッピングサイトやポータルサイトなどが攻撃を受け、そのサイト利用者のアカウントをリスト化したもので、不正ログインがあちこちで発声するという被害があります。
リスト型攻撃とも略される
パスワードリスト型攻撃はリスト型攻撃とも略されることもあり、意味としては同じになります。
総当り攻撃との違い
総当り攻撃とは、ブルートフォースアタックともいい、brute force(強引な、力ずくな)という意味があり、パスワードに使われると推測される文字列全てを総当たり式に当てはめていく方法です。4ケタの番号式になっている自転車用のチェーンロックでいえば、4つの桁すべてに0から9の10通りの数字が入ります。そのすべてのパターン10×10×10×10の1万通りをすべて試していくやり方です。
この方法を人間の手で行うと膨大な時間がかかりますが、この作業をあらかじめプログラミングされたコンピューターにやらせることで、短時間で行うことができます。総当たり攻撃は原始的な方法ですが、いつかは正解にたどり着けるという意味では確実性をもった攻撃です。また、近年のコンピューターのレベルも上がっており処理速度が速く、より短時間でハッキングが行えてしまいます。具体的には、現在のコンピュータースキルだと4桁の英字26文字だけのパスワードでは約3秒ほどでセキュリティーが破られてしまいます。
しかし、大文字小文字の区別のある英字と数字、記号の93文字で10桁のパスワードを設定すると、セキュリティーが破られるまで1千万年かかるといわれています。総当たり攻撃に対して有効な対策は複雑な文字列でのパスワードということです。
パスワードスプレー攻撃との違い
パスワードスプレー攻撃とは、low-and-slow攻撃とも呼ばれ、不正ログイン検知に引っかかりにくいハッキング方法です。パスワードスプレー攻撃は、複数のIDに対して使われやすい同じパスワードで同時試行します。ログイン機能を持つシステムでは、一定回数のログイン失敗が発生するとアカウントをロックしたり、メールなどで本人確認をしたりする、不正ログイン防止策があります。
しかし、パスワードスプレー攻撃では、アカウントがロックされるまでの一定回数を複数アカウントに対して同時にログイン試行します。こうすることで、効率的に、不正を検知されにくくハッキングを行っていくのです。攻撃側は不正を検知されないようにするため、時間を空け、IPアドレスを変えるなどしてゆっくりと攻撃を行っていきます。これがlow-and-slowと呼ばれる所以なのです。
パスワードリスト型の原因
パスワードリスト型攻撃の対象となるのは、同じIDとパスワードを複数のサイトなどで利用する人です。これは企業内とプライベートでのパスワードを同じにしている人も対象となります。
パスワードリスト型攻撃が多発する原因は下の表のようになります。
| プライベートでハッキングされる | プライベートの別アカウントのパスワードを利用している |
| プライベートでハッキングされる | 企業内の別アカウントのパスワードを利用している |
| 企業内でハッキングされる | プライベートの別アカウントのパスワードを利用している |
| 企業内でハッキングされる | 企業内の別アカウントのパスワードを利用している |
このように、プライベートでのパスワード漏洩が企業内でのハッキングにつながったり、企業内のパスワード漏洩によってプライベートアカウントのハッキングが起こったりすることがあります。
パスワードリスト攻撃の被害事例
パスワードリスト型攻撃による被害例は直近だと下の表のように多発しています。尚、ディノス・セシール社は5年近く継続的に狙われており、インシデントが継続して発生しています。
| 発表日 | サービス | 企業名 | 不正ログイン侵入件数 | 影響 |
| 2019/5/13 | ユニクロ・GU通販サイト | 株式会社ファーストリテイリング | 461091件 | お客さまの氏名、住所、電話番号、携帯番号、メールアドレス、性別、生年月日、購入履歴、クレジットカード情報の一部が参照された可能性、一部ユーザーは登録情報が変更され通知メールが届いた |
| 2019/3/28 | セシールオンラインショップ | 株式会社ディノス・セシール | 6件 | お客様情報(氏名、会員ランク、保有ポイント数)が閲覧された可能性あり |
| 2019/2/6 | セシールオンラインショップ | 株式会社ディノス・セシール | 1件 | お客様情報(氏名、会員ランク保有ポイント数、お客様番号、性別、生年月日、メールアドレス、確認メール受信設定)が閲覧された可能性あり |
ディノス・セシール
東京都中区に本社を置く会社で、総合通信販売事業を行う会社で、ディノス・セシールは幾度もサイバー攻撃を受けています。対応策として、不正ログインを防ぐためにアカウントロックを実施し、アクセス元のIPアドレスのブロック、不正利用防止措置を講じました。
7pay
株式会社セブン・ペイはスマートフォン決済サービス7payを提供する企業です。第三者が本人になりすまし、登録されたクレジットカードおよび、デビットカードを通じて当該アカウントにチャージを行い、セブンイレブン店舗にて商品を購入するという事件がありました。パスワードリスト型攻撃の可能性が高いとインシデント時に言及されていました。
docomo オンラインストア
NTTドコモが運営する、ドコモ契約者向けオンラインストア「ドコモオンラインショップ」がリスト型攻撃による不正ログインを受け、不正購入される被害がありました。ドコモは2段階認証を設定していれば今回の被害は防げたと考えており、ユーザーに対して改めて2段階認証の設定を呼び掛けているそうです。
⇒業務システムをパスワードリスト型攻撃から守るゼロトラスト。今だけゼロトラストの原理・原則に関する資料を無料プレゼント中!パスワードリスト型攻撃の対策
パスワードリスト型攻撃に対して最も有効な対策は、ユーザーが他社のログインパスワードを使いまわさないようにすることです。利用者ができるログインパスワードを使いまわさないようにするための方法を3つ紹介します。
- 物理的に保管する
- 電子ファイルで保管する
- パスワード管理ソフトを利用する
1つ目は、紙のメモを利用することです。IDとパスワードを記載したリストを紙のメモの保持します。メリットとしては、ネットワーク経由で情報が漏れることはありません。デメリットとしては紙の紛失や、現実世界での盗難などが発生することです。
2つ目は電子ファイルとして保存することです。表計算ソフトやテキスト編集ソフトにはパスワード設定ができるので、パスワードをかけて保存しましょう。
3つ目はパスワード管理ソフトを利用することです。パスワード管理の専用ツールを利用し、IDとパスワードを保存します。こうすることで、利用者ツール自体のパスワードさえ管理すればよくなり、複数のパスワードを記憶する必要がなくなります。
2段階認証を導入する
2段階認証とはIDとパスワードに加えて、別の方法で本人性確認を行うことによってより安全性を高めるためのものです。IDやパスワードを不正入手した第三者によるログインやなりすましを防止できる有効な手段の1つとして知られています。現在では銀行などの金融機関や携帯電話会社などで、利用者がより安全にサービスを利用できるようにする目的で導入されています。
主に使われている2段階認証には3種類あります。
- トークン認証
- SMS認証
- 電話認証
1つ目は、トークンによる認証です。トークンとは、一度限りの有効なパスワードを生成する仕組みのことです。利用者がパソコンやスマートフォンに専用アプリをインストールして利用する「ソフトウェアトークン」と、カード、キーホルダー型の機器にパスワードを表示させるハードウェアトークンの2種類があります。有名なソフトウェアトークンには「google認証システム」や、「yahoo!JAPANワンタイムパスワード」などがあります。アプリや機器に表示されている間にそのパスワードを入力することで、認証が完了します。2段階認証で取得したパスワードは一度使用すると無効になり、第三者へ漏洩した際にも不正ログインやアクセスに利用できないようになっています。
2つ目はSMSによる認証です。SMSとは携帯電話のショートメッセージのことで、ショートメッセージとしてワンタイムパスワードを送信するのがSMSによる認証です。IDとパスワードを入力すると、SMSに認証情報が送信されます。受信した情報を有効期限内に入力することで、2段階認証が完了します。SMSを利用するためには電話番号の設定をする必要があるので、携帯電話がない場合や電話番号を設定していない場合はこの2段階認証システムを利用することができません。
3つ目は電話による認証です。これはIDとパスワードを入力すると、登録してある電話番号に着信があります。その際に自動音声によって読み上げられるワンタイムパスワードを入力することで、認証完了となります。現在ではさまざまなサービスが2段階認証の導入を増やしています。
特に使い勝手を悪くしないリスクベース認証を導入する
リスクベース認証とはログインを必要とするシステムにおいて、ユーザーの行動パターンやOS、IPアドレス、ブラウザの種類などの情報などを記憶し、いつもと異なる環境からのログインの場合に追加の質問をすることで、ログイン認証の強化をするものです。よく使われる追加認証に「秘密の質問」があります。これは本人しかわからない情報を質問内容とし、正しければログインできるというものです。この方法は正規の利用者がいつもと同じ環境でログイン試行する場合には、利用者には特別な認証における操作が必要とされず、利用者に負担をかけずにセキュリティー性を高めることができます。
休眠アカウントを廃止する
休眠アカウントとは、長期間ログインされていないオンラインサービスやSNSのアカウントのことです。新しいサービスのアカウントを作成したが、結局使わず放置しているアカウントや、短期間のみ使用する「捨てアカウント」などがそれに当たります。
数多くのアカウントを持っていると、別のアカウントでIDとパスワードが漏洩した場合などに、芋づる式にほかのサービスも乗っ取られ、金銭問題に繋がることがあります。このようなリスクを避けるためにも利用していないアカウントは削除するのがよいでしょう。過去に登録したアカウントがいくつもあり把握できない場合は以下の方法で休眠アカウントを探すことができます。
- 登録時のメールを確認する
- ブックマークのチェック
- 購入履歴からのチェック
1つ目はメールボックスでの登録時のメールをチェックです。アカウントを登録するときに本人確認のためにメールを利用した本人確認をするサービスは多いです。「メールアドレスの確認」、「アカウント登録」、「登録完了」などのキーワードで検索をかけて探してみましょう。
2つ目はブックマークのチェックです。サービス利用当初はリピートしようと考えブックマークしてあることがよくあります。登録名を見てピンと来ないサイトなどは休眠アカウントが残っている場合がありますので、念のため開いて確認してみましょう。
3つ目はアプリの購入履歴からのチェックです。スマホアプリで作ったアカウントは購入履歴を見ることで、休眠アカウントの発見ができます。また、サブスクリプション型サービスの決済履歴もチェックすると良いでしょう。加入していることをうっかり忘れている有料サービスが見つかるかもしれません。
yahooの事例
yahooでは、SMS認証や生体認証によるログイン方法を採用しており、新規利用者にはパスワードを設定しない登録方法を提供しています。既存の利用者に対しても新しい認証方法に切り替えることができるようになりました。yahooが2018年に行った調査では、「複数サービスで同一パスワードを使いまわしている」に該当する人が73%、「パスワードは忘れてしまう」と答えた人は96%という結果が出ており、利用者の危機意識が依然として低いことがわかります。こうした利用者をパスワードリスト型攻撃から守るためにも、パスワードレスな個人認証を推進することが課題となっている。
パスワードの使い回しをしないよう告知を徹底
独立行政法人情報処理推進機構(IPA)は当該サイトで不正ログイン対策特別特集ページを作成し、対策として、パスワードの使いまわしへの警告や、多要素認証などを告知しています。
このように、パスワードリスト攻撃は現在身近なものとなっています。自分の情報は自分で守らなくてはならない時代になっています。まずはできる範囲で対策を行ってみましょう。
