第48回 リスト型攻撃

パスワードリスト型攻撃、アカウントリスト攻撃などとも呼ばれる。何らかの方法で入手したIDとパスワードのリストを利用してサイトにアクセスを試み、合致した利用者のアカウントで不正にログインしてしまう攻撃である。不正ログインした後、この会員の別の情報を閲覧し、個人情報を流出させる可能性がある。

インターネットユーザーは多数のサービスに会員登録するようになったが、それぞれのサービスで別々のパスワードを設定すると記憶することが面倒なので、同じパスワードを設定するケースが増えている。IDについては、ユーザーのメールアドレスをそのまま利用するサービスも多いので、IDとパスワードが多数のサービスで同一、という例が大多数にのぼっているのが現状だ。

この結果、どこかのサイトの利用者のID・パスワードが流出すると、これを他のサイトで利用して不正ログインが試みられる。ある比率で合致するものが出てきて、不正ログインに成功する。ID・パスワードのリストは闇の流通市場ができていて、ここで多数、売買されていることが想定されている。複数の犯罪グループが、こうした市場から入手したリストをもとに不正ログインの攻撃を展開している。これがリスト型攻撃のパターンと思われる。

かねて、この攻撃の脅威については警鐘が鳴らされていたが、特に2013年ころからは大手のポータルサイトや通販サイトなどが次々に攻撃を受けている。

総務省は、こうしたリスト型攻撃の増加に危機感を抱いて「対策集」をまとめ、関係機関、関係事業者、ユーザーに対策を講じるように要請している。

対策については「攻撃を予防する対策」と「攻撃による被害の拡大を防ぐ対策」の2つに分類して解説している。ここでは各自の行動の指針にしてもらうため、紹介する。

<攻撃を予防する対策>
1.ID・パスワードの使い回しに関する注意喚起の実施
  サービス毎に異なるID・パスワードを設定するよう利用者に注意喚起する
2.パスワードの有効期間設定
  パスワードに有効期限を設定し、利用者に定期的に変更させる
3.パスワードの履歴の保存
  数世代前に使用したパスワードへの変更を認めないようにする
4.二要素認証の導入
  ID・パスワード以外の認証要素(ワンタイムパスワード等)を追加する
5.ID・パスワードの適切な保存
  サービス運営事業者において暗号化等ID・パスワードの適切な保存を行う
6.休眠アカウントの廃止
  長期間利用実績の無いアカウントをデータも含めて削除する
7.推測が容易なパスワードの利用拒否
  パスワード・ポリシーを定め、推測が容易なパスワードの利用を拒否する

<攻撃による被害の拡大を防ぐ対策>
1.アカウントロックアウト
  同一のIDに対して一定の閾値以上の認証エラーが発生した際にアカウントを一時停止する
2.特定のIPアドレスからの通信の遮断
  特定のIPアドレスから閾値以上のログイン要求が発生した際に、当該IPアドレスからの通信を遮断する
3.普段とは異なるIPアドレスからの通信の遮断
  通常ログインされているIPアドレスとは大きく異なるIPアドレスからのログイン要求が発生した際に、当該IPアドレスからの通信を遮断する
4.ログイン履歴の表示
  ログイン履歴を保存し、利用者がアカウントの利用実績を認識できるように設定する

以上、総務省の「リスト型攻撃対策集」より引用。
社会全体で、この攻撃に対抗したい。


【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization