労働環境や経済情勢が変化する昨今、ワークスタイルの変革を掲げる企業が増えてきています。リモートアクセスやWeb会議によって外出先からでも業務が遂行できることから、在宅勤務やモバイルワークなどの多様な働き方がITを駆使して実現され始めています。利便性や生産性が向上することは企業にとって非常に良いことですが、一方で気になるのはセキュリティ対策でしょう。
　2013年の初夏以降、インターネットサービス業界に激震が起きていることをご存知でしょうか。これまでにない規模のユーザIDとパスワード情報の窃取が行われ、その漏洩情報をもとに行われたと疑われる不正アクセス事件が頻発しているのです。
　例えば2013年5月、Yahoo！JAPANは約2200万件の「Yahoo！ ID」と、約148万6000件のパスワード、同件数の「秘密の質問と答」が外部に流出した可能性があることを発表しました。外部の攻撃者が悪意をもって情報を窃取したものと推定され、漏洩アカウントを利用した成りすましによる不正アクセスを防ぐため、対象IDのパスワードは強制リセットされました。
　また米Adobe社は2013年10月に290万人分のユーザID、暗号化されたパスワード、氏名、暗号化されたクレジット/デビットカード番号、有効期限、購入履歴などが外部からの攻撃で盗み出されたことを発表しました。後に影響を受けるアカウントは3800万人分にのぼることがわかっています。こちらも対象IDのパスワードリセットや他の同社サービスのパスワード変更をユーザに求める事態になりました。そのほかにも多くのインターネットサービス業者の情報漏洩事件が報道されています。

　このような情報窃取を行う者はいったい何を狙っているのでしょうか？一般的に情報窃取は「金銭的な利益」「愉快犯による嫌がらせやいたずら」「社会的問題に関する主張」「企業の事業妨害」「産業スパイや破壊活動準備」といった目的で行われると考えられています。なかでも近年は特に金銭目的のサイバー攻撃が多くなっているようで、その一因には、個人情報を売買する闇市場があります。
窃取した個人情報は闇市場で金銭に変えられるのです。IDとパスワードのセットである「パスワードリスト」は人気商品の1つです。一度闇市場に流出したパスワードリストは誰が入手するかわからず、どのように悪用されるかもわかりません。
　過去には、国内でも闇市場から得たパスワードリストでECサイトに不正アクセスを行い、正規のユーザが貯めたポイントを不正利用する事件がありました。また、上記のような情報漏洩事件の後に大手ブログ業者で24万超、大手SNSで約4万、大手旅行サイトで約2万7000アカウントの不正ログイン事件が起きています。すべて正規ユーザIDとパスワードによって機械的な手法でログイン操作が行われたものです。不正に窃取されたパスワードリストが使われたと推測され、「パスワードリスト攻撃」は一躍注目キーワードになりました。

　また流出したパスワードリストの一部がインターネットで公開されてしまう事件も起きています。Adobe社の流失したパスワードリストもその1つで、海外オンライン情報共有サービス業者は、そのリスト中に自社サービスのユーザ情報と一致するものを発見、当該ユーザにパスワードリセットを奨める通知を行っています。　これら事例に見られるように、パスワードリスト攻撃は情報を漏洩したサービス業者だけでなく、同じID/パスワードを使っている他のサービスに不正アクセスすることを目的にしているようです。

　攻撃者にとって、パスワードリスト攻撃は手間をかけずに多くの収穫が得られる、絶好の手口です。多くのサービスは例えば3回連続してパスワード入力を失敗すれば、それ以降のアクセスは拒否するというパスワードロック機能を実装しています。しかし、パスワードリスト攻撃では正規のユーザID/パスワードが悪用されるので、パスワードリストを一度にターゲットにぶつけてみるだけで、相当数のログインが成功してしまいます。実際の攻撃例では“1 ID”あたりのログイン試行が1回だけの場合がほとんどを占め、2〜3回で成功しなければ攻撃を止めるケースが多いようです。
　なお、IPAが2013年8月に公表した資料によると、「パスワードリスト攻撃」の成功率は0.15％〜1.35％にのぼります。ブルートフォース攻撃の成功率はおよそ0.001％といわれているので、1000倍から1万倍も成功確率が高いことになります。

　警察庁の調査では、さらに高い確率でのログイン成功が報告されています。2013年9月からインターネットサービス13社に対して行った調査では、のべログイン回数総計26万0896回に対して、パスワードリスト攻撃とみられる不正アクセス回数はのべ1万7514回、侵入率はなんと6.7％に及ぶということです（出所：警察庁「平成24年3月15日公表「平成23年中の不正アクセス行為の発生状況等の公表について」より　※PDF資料）。
 
　このように、パスワードリスト攻撃はECや各種のオンライン取引にとって大きな脅威になっています。同時に、業務にパブリックなオンラインストレージサービスや情報共有サービスを利用している企業や、SaaSをはじめとするクラウドサービスを利用している企業にとっても多大な被害をもたらしかねない攻撃手口であると言えます。

　本連載では、次回は「個人としての心構えと対策」を、次々回は「企業としての対策」を考えていきたいと思います。