パスワードリスト型攻撃被害から身を守るための身近な対策
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」9月28日の放送内容を一部抜粋しご紹介します
今回の解説ニュース
パスワードリスト型攻撃により、個人情報が漏洩してしまったということです。パスワードリスト型攻撃の内容と、その対策について説明します。
今回のインシデントは、約13万2,000アカウントが不正ログインを受け、個人情報が漏えいした可能性があるということです。原因として、第三者が外部サービスから不正に取得したと推測される大量のユーザーIDとパスワード情報を用いたパスワードリスト型攻撃が挙げられています。
対策として、不正ログインの可能性がある顧客のアカウントに対し、順次パスワードリセットを行うとともに、メールで連絡を行っています。再発防止策として、今後、厳重な情報セキュリティ体制の構築と強化を図り、安全性の確保に努めるということです。
被害に気が付きにくい?パスワードリスト型攻撃とは
パスワードリスト型攻撃とは、過去に流出したユーザIDとパスワードを用いて、別のサービスへの不正ログインを試みる攻撃手法です。複雑なパスワードを設定していたとしても、複数のサービスでパスワードが使いまわされていた場合に被害にあってしまう可能性があります。
例えば、Aさんは会社やプライベートで複数のSaaSやSNSを使っているのではないかと思います。使っているサービスごとに、担保されているセキュリティレベルも様々であると考えられます。仮に1つのサービスでセキュリティ対策が十分ではなく、パスワードが漏えいしてしまったとします。
一方で、Aさんが各サービスでどのようなパスワードを設定しているかも重要です。ユーザIDにメールアドレスが使われているサービスが多い中で、仮に同じパスワードを使いまわしていたとすると、同じユーザIDとパスワードの組み合わせでログインできるサービスが複数あることになります。
この状態で、1つのユーザIDとパスワードの組み合わせが漏洩してしまうと、複数のサービスでパスワードリスト型攻撃の被害にあう可能性が出てきます。また、パスワードリスト型攻撃は、検知することが難しい場合があります。理由として、一般的なパスワードに対する攻撃は、1つのアカウントに対して複数のパスワードを使って攻撃することが多いため、連続して認証に失敗した回数をカウントすることでアカウントにロックをかけて守ることができます。 しかし、パスワードリスト型攻撃は、ユーザIDとパスワードの組み合わせで攻撃するため、特定のユーザIDで認証失敗が連続することはありません。また、他のパスワードに対する攻撃と比較して、パスワードリスト型攻撃は成功確率も高いため、攻撃自体に時間をかけることができるかもしれません。よって、パスワードの入力間違いなど、通常の認証失敗と区別することが難しいことも、検出を困難にしている原因の一つであると言うことができます。
その他のトピック