パスワードリスト攻撃とは、入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃のことを言います。
攻撃者は、収集したID・パスワードを利用して、普通のユーザーのふりをして、正規のルートからのログインを試みるのです。
パスワードリスト攻撃は、珍しいとは言えないサイバー攻撃ですが、ここ10年ほど、毎年企業での被害があり、セキュリティに対する脅威としてよく知られるものです。
そこで、パスワードリスト攻撃に対して、どのように対処したらよいか、ご説明します。
パスワードリスト攻撃とは
あらかじめ入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃をパスワードリスト攻撃といいます。
ユーザー本人に成りすましてのアクセスであることから、不正アクセスだとはわかりにくい特徴があります。
Webサイトなどから流出したユーザーIDとパスワードのリストで攻撃を加えるのですが、このリストはインターネット上で販売していることもあります。
通常のインターネットでも、ダークウェブのいわゆる裏サイトなどでもID・パスワードを売買する取引は盛んにおこなわれているので、ひとたびID・パスワードが流出するようなことがあれば、安全対策を入念に行っておく必要があります。
攻撃者は、リストにあるID・パスワードを利用して、他のサービスサイトにもログインしようとします。
一人のユーザーから漏えいしたID・パスワードのために、数々のサイトにアクセスできてしまい、攻撃者の思うつぼとなってしまうケースもあります。
サイトにおけるID・パスワードの使いまわしが危険だ、というのはこういうところに具体的なリスクがあるからです。
ITリテラシーが高くないと、ついしてしまいがちな間違いですが、被害が甚大になる恐れがあるのでパスワードの使いまわしは絶対に避けるべきことなのです。
パスワードリスト攻撃と総当たり攻撃の違い
パスワードリスト攻撃と、総当たり攻撃は似ていますが、攻撃方法としては異なるものと考えられています。
総当たり攻撃は、大きく分けると2種類のものがあります。ブルートフォース攻撃は、すべての単語を高速で入力し続ける攻撃です。非常に高速なので、短時間で何度も攻撃が仕掛けられることが攻撃者からのメリットと考えられます。
また、辞書攻撃と言って、パスワードに使われやすい単語を、ツールを使って総当たり方式で入力する方法もあります。
しかし、これらの総当たり攻撃は、高速で超人的な回数を入力することになりますので、侵入検知システムなどのツールをつかって検知し、回線を遮断するなどの防御側も被害を免れることができます。
これに対してパスワードリスト攻撃は、ログインの試行回数が少なく、検出が困難です。そこが、パスワードリスト攻撃の事例が毎年生じるのに、なかなか制圧するのが難しい原因と考えられます。
パスワードリスト攻撃の被害事例
パスワードリスト攻撃の被害事例は、オンラインショップを中心に毎年多数発生しています。特に、次にご紹介する事例の中でも、ディノス・セシールオンラインショップは、何度も執拗に攻撃されており、オンラインショップの大手でリストの中に入る会員の数も多く、かつ、何度狙われても、ID・パスワードを変更しない顧客がいることが推測されています。
ディノス・セシールオンラインショップ事件
2018年~2019年の間に3回も被害公表が行われているのが、ディノス・セシールのオンラインショップです。
氏名・会員ランク、保有ポイント数を中心に、お客様情報が何度も閲覧された形跡があります。
実際に閲覧された会員数は3回合わせて約500と推定されていますが、ログイン試行件数は、最大で3000件と、そもそも多くの会員とみられる方の情報がリストに載っていたものと推定されます。
NTTドコモオンラインショップiPhone不正購入事件
NTTドコモのオンラインショップで、各種会員情報が閲覧されたほか、1000件ものiPhoneXが、ユーザーの知らない間に勝手に購入されていた事件が2018年に発生しています。
東京ガス「myTOKYOGAS」会員情報閲覧事件
2017年に発生している事例ですが、ログイン試行が延べで10万件に上っており、やはりこれも大量のリストに基づくログイン試行があったものと考えられます。
閲覧されたデータは、氏名・請求予定金額・保有ポイントなどであり、17件の被害が判明したとのことです。
パスワードリスト攻撃を防ぐための対策
パスワードリスト攻撃を防ぐための対策ですが、ID・パスワードが攻撃者の保有するリストに載ってしまうことを防ぐことがまず重要なポイントとなります。
特にID・パスワードをどうやって管理するか、具体的な管理方法が問題です。
パスワードをかけた電子ファイルに保存
IDとパスワードを記載したリストをパスワード付きの電子ファイルに保存し、パスワードを管理する方法が考えられます。
パスワードは表計算ソフトの機能でファイルそのものにかける方法と、zipなどの圧縮ファイルにかける方法とがあります。
パスワードで強い暗号化を施すことができるので、数字・記号・大文字小文字を組み合わせて、ある程度桁数を長くした十分に複雑なパスワードを設定すれば解読はほぼ不可能と考えられます。
ログインパスワードもこのように強いパスワードを設定すべきです。
マスターパスワードを一つ作り、各サービスサイトなどで、自分だけしかわからないシリーズ物のパスワード+マスターパスワードの組み合わせでパスワードを設定するようにすると、サイトごとに安全なパスワードを設定することができます。
パスワード管理ソフトを利用する
パスワード管理専用ツールで、管理します。電子ファイルに保存する方法と方式はおおむね同じです。
多要素認証を利用する
認証形式も、多要素認証を使ってサービスにログインしたほうが安全です。スマホなどと連携させて多要素認証化できるサイトも今では多く見られます。
多要素認証を使うと、パスワードを入力しなくてもよくなるため、手間はかかるが管理は容易になる点もメリットがあると考えられます。
休眠アカウントを廃止する
休眠アカウントは、長い間使われていないアカウントですが、攻撃者はそういうアカウントを狙って情報を抜き取ろうと狙っています。
長期間、パスワードが変更されていないことから、古い簡単なパスワードが使われている可能性も高く、攻撃者も情報を抜き取るための時間をかけずに済んでしまいます。
休眠アカウントは、削除し、使わないようにしておくことが賢明です。
パスワードの使い回しをしないよう告知を徹底
複数のサイトでパスワードの使いまわしをしている場合は今すぐやめることがユーザーとしては必要です。
また、サービスサイトの管理者も、パスワードの使いまわしが危険であることを徹底して告知し、危険性をより具体的に知らせることが望ましいと考えられます。
ショッピングサイトには、広い年齢層・ITリテラシーの違うユーザが多数訪問します。ユーザのパスワード管理の改善を呼びかけるとともに、ユーザーに対するサイト側の告知も改善対象とすると、より効果的な対策となるでしょう。
まとめ
パスワードリスト攻撃は、以前からある古典的な攻撃の一つでありながら、件数があまり減らない攻撃手法の一つです。
あらかじめ集めたリストに基づいて、通常のログインをするように見えるので、根絶が難しいという特徴があります。
ユーザーもパスワード管理で自営をすると同時に、複数のサイトに同じパスワードを使うことは、パスワードリスト攻撃を行う攻撃者の思うつぼなので、絶対にやめましょう。
