パスワードリスト型攻撃とは ~類似攻撃の解説と対策方法について~
昨今、情報のオンライン化が進み、SNSや通販サイトなど、複数のサイトでIDとパスワードを登録している方が多いのではないでしょうか。 こうした背景からパスワードリスト型攻撃というサイバー攻撃が増加しています。 そこで、7payのサイバー事件でも話題となったパスワードリスト型攻撃について類似した攻撃から対策まで幅広く解説いたします。
目次
パスワードリスト型攻撃とは?
SNSや通販サイトなど、1人が複数のサイトを利用することが当たり前になっています。 本来ならば、各サービスごとにすべてのIDやパスワードを変えるのが理想ですが、覚えきれないし面倒などという理由で、同じものを使いまわす傾向にあります。
下記のトレンドマイクロ株式会社が実施した「パスワードの利用実態調査2020」によると、パスワードを使いまわしている利用者は8割以上もいるということがわかります。
図1.「あなたは、ID/パスワードでのログインが求められるWebサービスの利用にあたり、パスワードを使い分けていますか。使い分けている方は、何種類のパスワードを使い分けているかお答えください。」(単一回答)[n=515]
図2.「ID、パスワードを使いまわす理由はなんですか?」(複数回答)[n=441]
参照: -パスワードの利用実態調査 2020- 新型コロナウイルス拡大前後で約2割がネット上で機微情報の取り扱いが増加 ~情報流出の被害経験があるWebサービス利用者は約5人に1人~
パスワードリスト型攻撃とは、まさにこの傾向を利用した攻撃方法です。 攻撃者は何らかの方法でユーザーが実際に利用しているIDとパスワードを入手し、そのIDとパスワードで他のサイトやSNSへログインを試みます。 例えば、ある人のTwitterのIDとパスワードが漏えいしてしまうと攻撃者はその情報を利用してFacebookやAmazonなどほかのサイトへログインを試行します。 もし、その狙われた人が同じIDやパスワードを使いまわしていると簡単にアカウントを乗っ取られ、不正送金やポイントの不正利用などの被害を受けることになります。
近年、IDやパスワード入力の増加により、パスワードリスト攻撃の成功率が高くなっています。 さらに、パスワードリスト型攻撃は攻撃者がユーザー本人に成りすましてアクセスするため、サービス提供者側は不正と判断しにくいという特徴もあります。
どうやってパスワードリストを入手するの?
パスワードリストの入手方法としては主に以下の2つが挙げられます。
フィッシングサイトから個人情報を入力させる
フィッシングとは、正規のメールやWebページを装ってパスワードや暗証番号を盗み取る手口のことを指します。 メールに記載されたURLをクリックすると、本物のサイトそっくりに偽造されたサイトへアクセスします。 そして、ユーザーは本物だと勘違いして、IDとパスワードを入力するのです。 以前までは、不自然な日本語や英語での本文内容で、容易に判断することができましたが、近年ではフィッシングメールの内容が高度化し、正規のメールやWebページとほぼ変わりがなく、「怪しい」と判断することが困難になってきています。
ダークウェブでパスワードリストを購入
ダークウェブとは、一般的な検索フォーム(GoogleやYahoo!など)では表示されず、正規の方法ではアクセスできないようなサイトのことです。 ダークウェブ上では、脆弱性に関する情報やウェブサイトのIDとパスワードのリスト、住所や電話番号などの個人情報のリストが匿名で取引されています。
類似攻撃
ブルートフォースアタック
ブルートフォースアタックとは、すべてのパスワードを総当たりで試行する方式です。 原始的な方法ではあるのですが、もしパスワードが数字や英字のみの4桁と比較的単純な場合、コンピュータは約3秒ですべての組み合わせを試行し、不正にアクセスすることが可能です。 仮に英数字だとしても、4桁では約2分で解読できてしまうのです。 よって、10桁以上の英数字(大文字、小文字)と記号で混合作成したパスワードの場合、解読に時間が必要となり、簡単に突破されることを防ぐことができます。
リバースブルートフォースアタック
リバースブルートフォースアタックとは、ログイン試行の回数制限を回避する攻撃方法です。 ブルートフォースアタック対策として、現在ウェブサイトやアプリケーションのログイン試行には回数制限が設けられていることが多いです。 その中で、アカウント名を変更した場合は、何度でも試行できるというサイトの仕様を悪用した攻撃方法となっています。 例えば、多くの人が使いそうなシンプルなパスワードを、アカウント名を変更しながら単純なログイン試行を繰り返します。 しかし、サイト運営者側からすると、単純な手法では検出や防御をするのが非常に難しいのです。
パスワードスプレー攻撃
パスワードスプレー攻撃とは、パスワードを固定し、複数のIDを一つずつ試行するリバースブルートフォースアタックとは異なり、複数のIDに同一のパスワードを使って同時にログイン試行する攻撃です。 従って、効率的にログイン試行できることが特徴です。
また、5回のログイン失敗でアカウントロックするようなシステムの場合、4回目に失敗した段階で、別の複数IDに切り替えて、再度ログイン試行することでアカウントロックを免れ、システム側での不正検知を難しくします。
攻撃を受けると?
実際にパスワードリスト型攻撃を受けるとどのような被害があるのかを見ていきましょう。
主な被害として、4つ挙げられます。
ネットバンキングからの不正引き出し
近年、銀行口座の多くがオンライン化し、専用のアプリケーションなどから残高照会や振込、入出金明細の照会、税金・各種料金の支払い等行うことができます。 これらの機能を利用して、攻撃者はネットバンキングのアカウントに不正ログインすることで、指定の口座に振込させるなどの悪事をはかります。
企業の機密情報の漏えい
攻撃者は企業や組織の内部情報を不正アクセスして閲覧し、財産である機密情報を盗み出すことでターゲットに対して莫大な経済損失を与えます。
SNSのなりすましによる投稿やメッセージ送信
様々なSNSが登場し、多種多様な目的で若い人を中心に普及していますが、SNSのアカウントのIDやパスワードを他のSNSでも使い回したり、わかりやすいものに設定したりしている人は少なくないと思います。 攻撃者はそのような弱みを利用し、SNSのアカウントを乗っ取ることでターゲットに不利益、不適切な発信をします。
オンラインストアでのポイント不正使用、不正購入
最近では、SNSと同じように数多くのオンラインストアが存在していて、独自の決済システム等が充実しています。 攻撃者は、主に他人のアカウントを使用し、不正ログインしてポイントを使用したり、大量購入したりしますが、特に警戒すべきことはオンラインストアに登録したクレジットカードの情報です。 クレジットカード情報を盗まれてしまうとカード番号や個人情報等が漏洩し、被害はさらに拡大してしまいます。 以上のことから、アカウントのセキュリティ強化はますます重要であると考えられます。
被害事例
サービス概要 | 被害概要 |
---|---|
オンライン通販サイト | 大量の不正ログインがあり、顧客の個人情報(氏名、住所、電話番号、クレジットカード情報など)が参照され、登録情報の変更通知がユーザーに届く被害。 |
顧客向けサイト | 不正ログインによる顧客の個人情報、保有ポイントが閲覧され、サービスの一部停止などの被害。 |
決済システム | 不正アクセスによって決済情報を閲覧され、巨額の被害を受けただけでなく、サービス自体の廃止にまで影響。 |
パスワードリスト型攻撃への対策
このような悪質な手口の被害に遭わないための対策は主に4つあります。
パスワードを使い回さない
シンプルかつ最も重要な対策として挙げられるのがこの方法です。 パスワードリスト型攻撃では流失したパスワードを他のサイトのログインに利用するため、サイトごとに少しでもパスワードを変えておくことが一番の予防対策になります。 例えば、ベースとなるパスワードにサイトごとに異なる「$」や「¥」などの記号を入れる方法があります。
パスワード管理のツールを利用する
パスワードを使い回さないことを意識した結果、複数のパスワードを覚えられず、テキストファイルとしてそのまま保存している方が多いのではないでしょうか。 もし、そのテキストファイルが漏えいしてしまうと、そこに記載されているサイト全てに不正アクセスされてしまいます。 そこで、そのファイルにパスワードを設定しておくことで、万が一、ファイルが漏えいしても、パスワード漏えいのリスクを抑えることができます。 表計算ソフトやテキスト編集ソフトでパスワードを設定できるものがありますので、ぜひご活用ください。
また、よりセキュリティを高める上で、パスワード管理ソフトを利用するのも一つの方法です。 「1Password」や「Google Smart Lock」、「パスワードマネージャー」など様々なツールがあります。 このようなツールを利用するとマスターパスワードさえ覚えておけば複数のパスワードを覚えていなくても呼び出すことができます。 これらのツールを利用する際は、ソフトの費用や対応している端末・OS、バックアップの有無や自動入力機能などの製品性能をしっかりと比較し自分に合った製品を選ぶことが大切です。
二段階認証を利用する
二段階認証とは、IDとパスワードによるユーザー認証を行った後に、二段階目の認証として秘密の質問やSMS宛てに送られてくる認証コードなどを入力します。 これにより、IDとパスワードだけの認証に比べてセキュリティを大幅に強化できるという特徴があります。 最近ではSNSやゲームなどでも二段階認証を標準装備しているケースが増えています。
まとめ
攻撃者の手口は年々狡猾になり、容赦なく脆弱性を狙ってきます。 したがって、IDやパスワードなどの情報管理は時代と共に重要視されています。 そして、企業や組織だけではなく、個人に対しても強く求められているのが現状です。 今回は、パスワードリスト型攻撃に対して、個人で行えるセキュリティ対策を挙げていきましたが、サービス提供側のセキュリティ対応についても確認することが重要です。 利用するサービスがどのようなセキュリティ対応をおこなっているかを見極めて、しっかり把握することで、セキュリティ対策をより万全なものにしておきましょう。