止まらぬ不正ログイン被害!パスワード管理はどうする?

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

止まらぬ不正ログイン被害!パスワード管理はどうする?

2014/10/21


 昨年から今年にかけて頻発しているのがオンラインバンキングでの不正送金事件。今年は5月時点ですでに総額約14億1700万円にのぼる被害が生じている。その多くはウイルス感染を利用して偽画面へのログインID/パスワード入力、取引パスワード入力などを促して情報を窃取し、本人になりすまして不正ログインと不正送金を行う手口だ。また流出したID/パスワードをリスト化して無関係なサイトに向けて一斉に不正ログインを試みる「パスワードリスト攻撃」も激しさを増しており、安全なパスワード管理は企業・組織か個人かを問わず、ますます重要性を増している。今回は改めて不正ログインを招かないパスワード管理の方法を考えてみよう。

パスワード管理

不正ログインが止まらない! 数百万件の試行で約1割がパスしてしまう現実

 2014年上半期に発覚したパスワードリスト被害は下表の様に深刻さを増している。

表1 2014年1月〜6月のパスワードリスト攻撃被害状況
表1 2014年1月〜6月のパスワードリスト攻撃被害状況
資料提供:IPA

 パスワードリスト攻撃は、どこかのサイトから流出したID/パスワードなどの情報を悪用し、そのID/パスワードを使って別のサイトに機械的な方法でログインを試みる手口のことだ。7月以降も、表に上げた企業以外にも、リクルートグループやNTTドコモ、JR東日本などの多くのサービスがこの手口で不正ログインされている。その原因は、ユーザが複数のサービスで同じID/パスワードを流用していることによる。1つのサービスのID/パスワードが漏れると、それを使って別のサービスに、正規のユーザになりすましてログインできるわけだ。その攻撃は1日で終わるわけではなく、数日かけて行われることが多く、なかには1年も継続した(その間気づかれることがなかった)ケースもある。上表に見るとおり、大規模に展開されることが多く、不正ログインの成功率も時には10%近い高確率であることが、従来からのパスワードクラッキングとは異なる特徴だ。
 不正ログインが成功すると、ユーザの機密情報が攻撃者に知られて悪用されたり、換金可能なポイントやクーポンなどが窃取されたりと多大な迷惑や金銭的被害が生じる可能性がある。サービスの提供者にしてみれば、サービスが不正に利用される不利益のほか、ユーザへの事実報告が社会的責任として求められようし、場合によってはお詫びや損害賠償にも発展しかねない。特にセキュリティ管理に問題がなくても、社会的に悪評が立つ懸念があり、顧客離れなどの損害が生じるかもしれない。ID/パスワードは正規のものが使われるので、なかなか気付くことができず、対応が後手に回りがちなことも問題視されがちだ。

◯不正送金機能が追加された攻撃ツールも登場
 パスワードの窃取と悪用の手口で同様に猛威をふるっているのがオンラインバンキングのユーザを狙う、不正送金犯罪だ。こちらはまずウイルスをメールやWebサイトに仕込んでPCに感染させ、ウイルスの機能により偽のログイン画面や取引画面を表示してユーザに誤認させる。ログイン情報と取引情報などが入力されると、そのデータを攻撃者の元に自動送信してしまう。あとはアカウントを乗っ取られて、不正送金が行われるという仕組みになっている。従来からある情報窃取を目的にした攻撃ツールに最近不正送金機能が追加されており、海外を含む犯罪グループが形成されているとも考えられているので、これからさらに攻撃が増加する可能性がある。十分な警戒が必要だ。
 さて、このような不正ログインが横行する今、ユーザやシステムにはどのような対応が求められるのだろうか。


1

不正ログインの手口は?

 不正ログイン対策はコンピュータができて以来ずっと続く課題。ID/パスワードで安全を担保する手法は古くから安全性と利便性のバランスがよいアクセス制御方式だと考えられてきたが、現在のように日常的にアクセスするサービスが増え、企業や個人の重要情報が各サービスに大量に集約されるようになると、もはや利便性は犠牲にしても、安全性を高めていかなければ機密漏洩や金銭被害を防ぐことはできなくなっているようだ。

1-1

不正ログイン用のID/パスワード窃取手口の3タイプ

 まず不正ログインの手口について整理しておこう。成りすましログインを行うためのログイン情報などはどのように攻撃者の手に渡るのだろうか。

セキュリティ情報局にご登録頂いた方限定で「止まらぬ不正ログイン被害!パスワード管理はどうする?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

パスワード管理/止まらぬ不正ログイン被害!パスワード管理はどうする?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「パスワード管理」関連情報をランダムに表示しています。

パスワード管理」関連の製品

プロビジョニング管理システム「D-PLAMS」 【ディライトテクノロジー】 特権ユーザ管理ソリューション 【CA Privileged Identity Manager】 【CA Technologies】 クラウド勤怠管理システム 「バイバイ タイムカード」 【ネオレックス】
ID管理 ID管理 勤怠管理システム
アカウント管理のニーズに柔軟に応えるID管理パッケージ。データのコード体系を選ばず、ほぼすべてのシステムと連携できる。オンプレミスまたはクラウドサービスで提供。 特権ID管理ソリューション。ゲートウェイ型/サーバー制御型の2つのアプローチにより厳格な管理を実現する。PCI DSSなどの要件に対応し、監査対応にも有効。 2年連続シェアNo.1(1,000人以上規模、2016年ミック経済研究所調べ)の勤怠管理システム。様々な打刻方法と柔軟なカスタマイズに対応し、サポート体制も充実。

パスワード管理」関連の特集


IT担当者644人を対象に「シングルサインオンの導入状況」を調査。導入のきっかけや重視ポイントなどか…



目くるめく人の出入り。慌しいID管理で深夜作業は当たり前?いいえ、諦めてはいけません!基礎を押さえて…



パスワードの管理は複雑さを増し、時には“ほころび”を見せることも。今回はパスワードに注目し、認証セキ…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007391


IT・IT製品TOP > エンドポイントセキュリティ > ワンタイムパスワード > ワンタイムパスワードのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ