エンドポイントセキュリティ 2014/02/27
労働環境や経済情勢が変化する昨今、ワークスタイルの変革を掲げる企業が増えてきています。リモートアクセスやWeb会議によって外出先からでも業務が遂行できることから、在宅勤務やモバイルワークなどの多様な働き方がITを駆使して実現され始めています。利便性や生産性が向上することは企業にとって非常に良いことですが、一方で気になるのはセキュリティ対策でしょう。
2013年の初夏以降、インターネットサービス業界に激震が起きていることをご存知でしょうか。これまでにない規模のユーザIDとパスワード情報の窃取が行われ、その漏洩情報をもとに行われたと疑われる不正アクセス事件が頻発しているのです。
例えば2013年5月、Yahoo!JAPANは約2200万件の「Yahoo! ID」と、約148万6000件のパスワード、同件数の「秘密の質問と答」が外部に流出した可能性があることを発表しました。外部の攻撃者が悪意をもって情報を窃取したものと推定され、漏洩アカウントを利用した成りすましによる不正アクセスを防ぐため、対象IDのパスワードは強制リセットされました。
また米Adobe社は2013年10月に290万人分のユーザID、暗号化されたパスワード、氏名、暗号化されたクレジット/デビットカード番号、有効期限、購入履歴などが外部からの攻撃で盗み出されたことを発表しました。後に影響を受けるアカウントは3800万人分にのぼることがわかっています。こちらも対象IDのパスワードリセットや他の同社サービスのパスワード変更をユーザに求める事態になりました。そのほかにも多くのインターネットサービス業者の情報漏洩事件が報道されています。
このような情報窃取を行う者はいったい何を狙っているのでしょうか?一般的に情報窃取は「金銭的な利益」「愉快犯による嫌がらせやいたずら」「社会的問題に関する主張」「企業の事業妨害」「産業スパイや破壊活動準備」といった目的で行われると考えられています。なかでも近年は特に金銭目的のサイバー攻撃が多くなっているようで、その一因には、個人情報を売買する闇市場があります。
窃取した個人情報は闇市場で金銭に変えられるのです。IDとパスワードのセットである「パスワードリスト」は人気商品の1つです。一度闇市場に流出したパスワードリストは誰が入手するかわからず、どのように悪用されるかもわかりません。
過去には、国内でも闇市場から得たパスワードリストでECサイトに不正アクセスを行い、正規のユーザが貯めたポイントを不正利用する事件がありました。また、上記のような情報漏洩事件の後に大手ブログ業者で24万超、大手SNSで約4万、大手旅行サイトで約2万7000アカウントの不正ログイン事件が起きています。すべて正規ユーザIDとパスワードによって機械的な手法でログイン操作が行われたものです。不正に窃取されたパスワードリストが使われたと推測され、「パスワードリスト攻撃」は一躍注目キーワードになりました。
また流出したパスワードリストの一部がインターネットで公開されてしまう事件も起きています。Adobe社の流失したパスワードリストもその1つで、海外オンライン情報共有サービス業者は、そのリスト中に自社サービスのユーザ情報と一致するものを発見、当該ユーザにパスワードリセットを奨める通知を行っています。 これら事例に見られるように、パスワードリスト攻撃は情報を漏洩したサービス業者だけでなく、同じID/パスワードを使っている他のサービスに不正アクセスすることを目的にしているようです。
攻撃者にとって、パスワードリスト攻撃は手間をかけずに多くの収穫が得られる、絶好の手口です。多くのサービスは例えば3回連続してパスワード入力を失敗すれば、それ以降のアクセスは拒否するというパスワードロック機能を実装しています。しかし、パスワードリスト攻撃では正規のユーザID/パスワードが悪用されるので、パスワードリストを一度にターゲットにぶつけてみるだけで、相当数のログインが成功してしまいます。実際の攻撃例では“1 ID”あたりのログイン試行が1回だけの場合がほとんどを占め、2〜3回で成功しなければ攻撃を止めるケースが多いようです。
なお、IPAが2013年8月に公表した資料によると、「パスワードリスト攻撃」の成功率は0.15%〜1.35%にのぼります。ブルートフォース攻撃の成功率はおよそ0.001%といわれているので、1000倍から1万倍も成功確率が高いことになります。
警察庁の調査では、さらに高い確率でのログイン成功が報告されています。2013年9月からインターネットサービス13社に対して行った調査では、のべログイン回数総計26万0896回に対して、パスワードリスト攻撃とみられる不正アクセス回数はのべ1万7514回、侵入率はなんと6.7%に及ぶということです(出所:警察庁「平成24年3月15日公表「平成23年中の不正アクセス行為の発生状況等の公表について」より ※PDF資料)。
このように、パスワードリスト攻撃はECや各種のオンライン取引にとって大きな脅威になっています。同時に、業務にパブリックなオンラインストレージサービスや情報共有サービスを利用している企業や、SaaSをはじめとするクラウドサービスを利用している企業にとっても多大な被害をもたらしかねない攻撃手口であると言えます。
本連載では、次回は「個人としての心構えと対策」を、次々回は「企業としての対策」を考えていきたいと思います。
◆関連記事を探す
![]() |
|
この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。
30007085
ようこそゲストさん
製品レポートが読めて、
ポイントが貯まるのは会員だけ!
導入事例 ダウンロードランキング 2018.4.26更新
パスワードリスト
関連情報
![]() ![]() |
セキュリティ調査で見えた、サイバーレジリエンスが高い企業と低い企業の差 【日本アイ・ビー・エム】 |
…ソリューション・その他 |
![]() ![]() |
対策に役立つ! ビジネスメール詐欺の手口を分析 【トレンドマイクロ】 |
…ソリューション・その他 |
![]() ![]() |
ゼロデイマルウェアから企業を守るセキュリティソリューションの実態テスト 【パロアルトネットワークス】 |
…ソリューション・その他 |
![]() ![]() |
新種の脅威を防ぐ機械学習、その機能は「3つの観点」で評価する 【パロアルトネットワークス】 |
…ソリューション・その他 |
![]() ![]() |
Web Security Gateway(旧 Web Filter) 【バラクーダネットワークスジャパン】 |
…ソリューション・その他 |
![]() ![]() |
未知のマルウェアに対処し、感染拡大防止に有効な方法とは 【エヌ・ティ・ティ・データ・ジェトロニクス】 |
…ソリューション・その他 |
![]() ![]() |
ゼロデイ・未知の攻撃から守る「新世代防御型」セキュリティ 【大興電子通信】 |
…ソリューション・その他 |
![]() ![]() |
エンドポイントセキュリティに投資すべき理由、ウイルス対策ソフトとの違いとは 【日立システムズ】 |
…ソリューション・その他 |
![]() ![]() |
これだけ差がつくセキュリティ“侵入後”対策――被害最小化に不可欠な対応とは 【日立システムズ】 |
…ソリューション・その他 |
![]() ![]() |
侵入防御+EDR+MSSを低コストで実現する全方位型エンドポイントセキュリティ 【日立システムズ】 |
…ソリューション・その他 |