「パスワードリスト型攻撃」が対策の難しい攻撃手法と言われる理由
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」4月7日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・パスワードリスト型攻撃はなぜ対策が難しいと言われるのか
今回の解説ニュース
パスワードリスト型攻撃によって、多数の個人情報が漏洩してしまったということです。今回は、パスワードリスト型攻撃の内容や、その対策が難しい理由について説明します。
今回のインシデントは、転職情報サイトのWebサーバで不正なログインを確認し、同社内で調査したところ、一部ユーザーのWeb履歴書へ不正にアクセスされた可能性が判明したということです。原因として、外部から不正に取得したと推測されるIDとパスワードを使用したなりすましによる不正ログイン、いわゆるパスワードリスト型攻撃が挙げられています。
対策として、不正ログインに該当するユーザーに対しパスワードのリセットを実施、パスワードの再設定方法と注意点を個別にメールで案内しています。また、不正ログインを試行していた送信元IPアドレス群からの通信をブロックし、所轄警察署への通報と相談、個人情報保護委員会など関係省庁への報告を行っています。
再発防止策としては、ID及びパスワード認証以外のシステムセキュリティの高度化を図る等、さらなるセキュリティレベルの向上策に取り組むということです。
パスワードリスト型攻撃はなぜ対策が難しいと言われるのか
パスワードリスト型攻撃は他と比較して成功率の高いサイバー攻撃と言っても過言ではありません。個人差はあれど、人の記憶力には限界があります。よって、記憶力だけに頼ってパスワードを設定されることを考えると、同じ文字列が使いまわされることは、必然的に発生してしまうことになります。
最近のWebサービスではIDにメールアドレスを使うことが多いため、パスワードが使いまわされてしまうと、同じIDとパスワードの組み合わせで複数のWebサービスへログインできてしまうことになります。これが、パスワードリスト型攻撃の成功率が高い理由のひとつです。
パスワードリスト型攻撃の対策が難しい理由は、通常の認証と区別がつきづらいことが挙げられます。例えば、Aさんのメールアドレスがわかったとして、パスワードを推測してみたとします。総当たりでランダムな文字列を試したり、氏名や生年月日を組み合わせた文字列を試したりしても、AさんのIDに対する、短期間かつ多数の認証失敗が発生しますので、サイバー攻撃に気が付くことできます。
一方で、パスワードリスト型攻撃は特定のIDに攻撃が集中せず、かつ実際に使われているパスワードが使いまわされていることから、他のサイバー攻撃と比較して認証失敗の発生する数は少なくなります。つまり、パスワードの入力間違いから発生する通常の認証失敗と区別がつかず、結果として対策が遅れている原因となっています。
IDとパスワードの組み合わせで認証しているWebサイトは、すべて攻撃の対象になることを認識してください。二要素認証が適切に使われていれば、有効な対策になりますので積極的に利用しましょう。