使いまわしてないのに?パスワードリスト攻撃対策の落とし穴

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

使いまわしてないのに?パスワードリスト攻撃対策の落とし穴

2015/11/17


  2014年から多くのオンラインサービスサイトで膨大な件数の不正アクセスを引き起こしているのが「パスワードリスト攻撃」。どこからか漏れたパスワードを悪用して、別のサービスでログインを試行する手口だ。だからパスワードの使い回しは厳禁とされる。

 だが最近、同じパスワードを使っていないにも関わらず、不正アクセスの被害にあう事例が出てきた。今回は、パスワード運用の思わぬ落とし穴とリスト攻撃対策の特効薬である多要素認証について解説する。

パスワードリスト攻撃

パスワードは全部別……でも不正ログインが行われるのはなぜ?

 2013年頃から頻繁に発覚している不正ログイン手口が「パスワードリスト攻撃」だ。本コーナーでも既に紹介しているように、数百万回に及ぶ不正ログイン試行が行われるケースが頻発している。

 具体的には、どこかのサービスサイトから何らかの方法(不正アクセス、情報窃取目的のウイルスへの感染、内部不正など)を使って入手したアカウント情報(ID/パスワードなど)をリスト化し、そのリスト情報を使って流出元とは違うオンラインサービスへのログインを試みる手口だ。自動化プログラムが使われるため、短時間に大量のログイン操作が行われる。200万回以上の試行で成功率が1割近いケースも報告されている。

 そもそもアカウント情報が外部に流出すること自体が問題なのだが、サービス側
がどんなに対策を施しても、巧妙な手口で窃取されてしまう可能性をゼロにはできない。また、被害が起きる前にサービス事業者側が漏洩に気付いて発表するケースはほとんどなく、多くは不正ログインが行われた後になる。

 2013年にはYahoo!JAPANのサーバに不正アクセスが行われ、最大で2200万件のIDが抽出され、約150万件は不可逆暗号化されたパスワードや、パスワード再設定用の情報の一部が流出した。最近でも、他人のFacebookアカウントに不正ログインを行った容疑でIT関連会社の従業員が逮捕された。その捜査において約770人分の他人のID/パスワードが発見されたという。

 不正ログインが行われると、正規ユーザが公開していない情報を閲覧されるばかりでなく、スパムメールの踏み台にされたり、SNS上で勝手に広告にタグ付けされたりする。その仕事は素早く、あるユーザは不正アクセスされてから1時間もたたないうちに400通近いスパムメールを送信されてしまった。当然問い合わせは正当なユーザのもとに殺到するだろう。スパムだけなら謝罪で済むかもしれないが、その結果としてウイルス感染などの被害が発生すれば、より重い責任を問われる可能性もある。

 また、ECサイトでの不正注文にも警戒が必要だ。つい最近も玩具販売大手企業にパスワードリスト攻撃とみられる不正アクセスがあり、顧客に成りすまして不正注文が行われた事件があった。明確に金銭目的か業務妨害の意図がそこにある。

 本来、サービスごとにログインID/パスワードを使い分けるべきなのだが、その煩雑さゆえか、同一パスワードを使うユーザが非常に多い。パスワードリスト攻撃の横行に対してオンラインサービス事業者やセキュリティ関連機関は「パスワードの使い回しは危険」だと警鐘を鳴らす。

 ここにきて、事態は更に深刻化している。パスワードの使い回しをしていないハズなのに不正ログインされてしまった事例が散見されるのだ。

 原因は、本人がパスワードを使いまわしていることに気付いていないということ。覚えやすいパスワードの作り方には、人それぞれのクセがある。そこで、数年前に使っていたが既に使わなくなったサービスのパスワードを、意識せずに現在利用中のサービスでも使っている可能性は高い。また、使わなくなったサービスのパスワードをわざわざ消去する人も少ない。攻撃者にとって、パスワードの“鮮度”は関係ないわけだ(図1)。

図1 過去に利用していたサイトからの情報漏洩によって成りすましログインが発生する理由
図1 過去に利用していたサイトからの情報漏洩によって成りすましログインが発生する理由

 自分で利用を止めただけではサービス事業者にアカウント情報は残る。また、退会した場合でもデータがちゃんと削除されるかどうか分からない。いつでも漏洩する可能性があると心得て、過去に使ったことのあるパスワードは、重要なサービスで使いまわさないようにしたい。以下では、このような状況を踏まえ、パスワードリスト攻撃への対策として有効な方法を考えてみよう。


1

パスワードを安全に運用する方法は?

1-1

パスワードを推測されにくくする方法

 まずは不正ログインを防ぐための基本を確認しておこう。IPAが推奨している最低限のパスワード強化対策は、それを容易に推測されないようにすることだ。次のようなポイントの遵守は必須の対策といえるだろう。

最低でも8文字以上の文字数で構成する。

パスワードの中に数字や「@」「%」「"」などの記号も混ぜる。

パスワード内のアルファベットに大文字と小文字の両方を入れる。

サービスごとに違うパスワードを設定する。

 当然ながら「12345…」や「abcdef…」「qwerty…」のような簡単に見抜かれる組み合わせはもってのほか。「PassWord111」「Suzuki@home」のような意味のある単語や人名を使うのも好ましくない。

 とはいえ無意味な文字列や数字では覚えられない。そこでIPAが打ち出したのが「チョコっとプラスパスワード」だ。自分が覚えやすいパスワードにチョコっとだけ数字や記号を混ぜて、チョコっとだけ長くして、チョコっとだけサービスごとに変えるのだ。

 例えば「一期一会」を基に、覚えやすい語呂合わせで「15Ichie」のようなベースとなるパスワードを作る。これに利用するサービスごとにユニークな記号(例えば「-#1」など)をつけ加えて「15Ichie-#1」とする。これで上記の全条件を満たし、かつ比較的簡単に覚えられる安全なパスワードができる。

セキュリティ情報局にご登録頂いた方限定で「使いまわしてないのに?パスワードリスト攻撃対策の落とし穴」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

パスワードリスト攻撃/使いまわしてないのに?パスワードリスト攻撃対策の落とし穴」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「パスワードリスト攻撃」関連情報をランダムに表示しています。

パスワードリスト攻撃」関連の製品

クラウド対応ソフトウェア型WAF InfoCage SiteShell 【NEC】 クラウド型(SaaS型)WAFサービス Scutum(スキュータム) 【セキュアスカイ・テクノロジー】 Barracuda Web Application Firewall 【バラクーダネットワークスジャパン】
WAF WAF WAF
InfoCage SiteShellはWebサーバにインストールするソフトウェア型とWAF専用サーバのネットワーク型のどちらの形態でも導入可能。クラウド環境(IaaS)にも対応。 顧客情報流出や改ざんの防止、リスト型攻撃などユーザ認証や新たな脅威も適切に防御するクラウド型WAFサービス。導入後に必要な運用もすべてお任せ。 ファイアウォールやIDS/IPSで保護できない、Webサイトへの外部からの不正アクセスを防御。SQLインジェクションやXSSなどによる顧客情報流出やWebサービス停止を確実に防止

パスワードリスト攻撃」関連の特集


便利な反面、漏洩リスクも…そんなオンラインストレージの安全利用法を紹介!米国では常識?運用に必須「カ…



 労働環境や経済情勢が変化する昨今、ワークスタイルの変革を掲げる企業が増えてきています。リモートアク…



年金情報漏洩事件を受け「パーソナルデータ」の保護体制に疑問の声も。データ活用とプライバシー保護の折り…


パスワードリスト攻撃」関連のセミナー

クラウドサービス利用時のID/パスワード管理 運用実務 勉強会 【主催:GMOグローバルサイン/協力:オープンソース活用研究所】 締切間近 

開催日 12月5日(月)   開催地 東京都   参加費 無料

【対象者】・中堅・中小企業の情報システム担当者。・Office365や、サイボウズ、SalesforceCRM、GoogleAppsなど、複数のクラウドサービス…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007985


IT・IT製品TOP > エンドポイントセキュリティ > 認証 > 認証のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ