パスワードリスト攻撃とは?手口や被害事例、効果的な対策を解説
過去に、通販サイトのログインパスワードが漏洩し、利用者のポイントが勝手に使われる事件がありました。
しかしその対処法として、通販サイトを解約するだけでは危険です。
というのも、漏洩したパスワードを使い回している場合、犯人が他サービスでもログインできるか試そうとするからです。
これを、「パスワードリスト攻撃」といいます。
- ということは、他のサービスにも不正アクセスされて、好き勝手される恐れがあるということですか…?
- はい、その通りです!ですので、パスワードが漏洩したらすぐに変更しましょう。
パスワードリスト攻撃は、利用者のパスワードの使い回しを狙った悪質な犯罪です。
攻撃を受けると、情報漏洩や不正アクセスのほか、金銭被害にまで発展する可能性があります。
そこで今回は、攻撃の手口や過去に起きた被害事例、効果的な対策についてご紹介します。
パスワードリスト攻撃とは?
パスワードリスト攻撃とは、犯人が違法に入手したサイトのIDとパスワードで本人になりすまし、ログインする攻撃です。
本人が実際に使用しているIDとパスワードを使用し、正規の方法でログインするため、不正ログインとして検知しづらいのが特徴です。
さらに犯人は他サービスでもログインを試みるため、パスワードを使い回している場合は危険。
特にクレジットカードや銀行など、金融関係のサービスが狙われやすく、金銭被害に発展する恐れがあります。
パスワードリスト攻撃の種類
パスワードを悪用したサイバー攻撃には、さまざまな種類があります。
【ブルートフォース攻撃】
いわゆる総当たり攻撃のことで、考えられる全ての文字列を1文字ずつ変えては試す攻撃。
例えばパスワードが0~9まで入力できる4桁の数だとすると0000、0001、0002というように1文字ずつ変えては試すことを繰り返す。
この場合10 × 10 × 10 × 10 = 10,000回試すまでに必ずログインできる。
- ちなみに8文字の英数字のパスワードの場合は、約2兆8千億回試すとログインされてしまいます。
【辞書攻撃】
辞書に掲載されている単語を、片っ端からパスワードとして入力し試す攻撃。
人名や思い入れのある場所の名前を付けて、パスワードに意味を持たせたいという心理をついた攻撃。
【パスワードスプレー攻撃】
1つのパスワードを、複数のアカウントのログイン画面で一度に試す攻撃。
複数回間違えるとロックがかかる機能があっても、犯人はそのパスワードで他のグループへのログインを試したり、IPアドレスを変更し何度でも試す。
パスワード情報を盗む手口
犯人は、パスワードを違法に入手します。
入手経路は多岐にわたりますが、特に多いのは「フィッシングメール」と「ダークウェブ」です。
「フィッシングメール」とは、Amazonや宅急便など大手企業になりすまして、ログイン情報を盗み取ろうとする迷惑メールのことです。
偽メールとは知らずに誘導されるまま個人情報を入力すると、犯人にログイン情報が伝わります。
一方「ダークウェブ」とは、個人情報や薬物・武器など、表で堂々と販売できない商品を取り扱うウェブサイトのことです。
ダークウェブは通常では見ることができないようになっており、特殊なインターネット環境でのみ閲覧できます。
パスワードリスト攻撃に遭うとどうなる?
パスワードを使い回し、パスワードリスト攻撃に遭うとどのような被害が出るのか見ていきましょう。
- 個人情報の流出・改ざん及び削除
- 金融サイトで不正送金
- SNSアカウントの不正投稿やなりすまし
- 通販サイト内のポイント不正使用や不正購入
- 機密情報の漏洩
- ゲームサイトの不正課金
【パスワードリスト攻撃がもたらす被害】
パスワードリスト攻撃の被害に遭った事例
次に、実際に起こったパスワードリスト攻撃の事例を2つご紹介します。
2つとも日常生活で身近で起こり得る事例なので、他人事だとは思わず危機感を持ちましょう。
事例①銀行のマイページに不正アクセスされる
とある銀行のマイページに、利用者になりすました犯人がログインし、利用者の口座から犯人の口座へ約30万円ほど送金された事例がありました。
利用者には「マイページより送金が完了しました。」とのメールが送信されましたが、迷惑メールへ振り分けられたため発見が遅れ、気づいたのは不正送金があった1ヶ月後のこと。
慌てて銀行の担当者に問い合わせましたが、補償はできないと言われました。
- 立派な犯罪なのに、どうして補償してもらえないのですか?
- 銀行により異なりますが、補償の対象外となる例に「利用者側の過失により情報が漏洩した場合」や「発見や通報が遅れた場合」があります。例えば利用者の不注意で情報漏洩した場合など、利用者に過失があれば基本的に補償されません。
事例②大手通販サイトでポイントが不正に使用された
大手通販サイトに利用者になりすました犯人がログインし、利用者のポイントを使って不正に商品を購入。
ポイントは補償対象外のため、不正に利用されたポイントは返ってきませんでした。
さらに利用者はパスワードを使い回していたことにより、他の4つの通販サイトでも同様にログインされ、ポイントが勝手に使われました。
合計5つの通販サイトで、総額20万円分のポイントを失いました。
パスワードリスト攻撃に効果的なセキュリティ対策
安全にインターネットを利用するには、自分の身は自分で守ることが大切です。
そこで続いては、サイトの利用者側と提供者側ですべき対策をご紹介します。
利用者ができる対策
サービスを利用する際に気をつけるべきは、パスワードを使い回さないことと、利用していないサービスのアカウントは削除することです。
またパスワードは、信頼できる管理アプリなどを利用し、安全に保管しましょう。
サービス提供者ができる対策
利用者だけではなく、サービス提供者側にも実践すべき対策があります。
| 他要素認証 | アカウント登録時に自分で定めた「知識情報」やICカード番号などの「所持情報」、指紋などの「生体認証」。この3つのうち2つ以上を組み合わせた認証。 (例)パスワード+指紋認証が一致すればログイン完了 |
| 2段階認証ログイン | パスワード入力した際、利用者に届いたメールからサービスへのログイン許可を出したり、利用者の端末に通知されたセキュリティコードを入力することでログインする。本当に利用者がログインしようとしているのか確認する仕組み。 (例)IDとパスワード入力→アカウント情報に登録した電話番号宛にSMSでセキュリティコードが届く→セキュリティコードを入力 → ログイン完了 |
| ログイン試行回数に制限をつける | 度重なるパスワードの試行による不正ログインを防ぐため、数回パスワードを間違えると一定時間ロックがかかる仕組み。 (例)パスワードが3回誤って入力されたため一定時間アカウントがロックされます |
| 画像認証を導入する | 悪意のあるプログラムの自動でログインを防ぐため、人間である利用者が画像を判別し入力することでログインする仕組み。 (例)画像に表示されている文字を入力してください (例)「信号」が含まれている画像を選択してください |
| WAFを使用する | サービスサイトを動かすためのWebサーバーの前に設置し、受信した通信を解析する仕組み。攻撃の通信と判断した場合は、完全に遮断しWebサイトを守る。 |
パスワードリスト攻撃に効果的なセキュリティ対策商品
サイバー犯罪者たちは、情報やお金を盗むためにあらゆる手法を考え攻撃してきます。
さらに攻撃手法は日々巧妙化しており、いくらセキュリティ対策をしても、抜け穴を狙った攻撃を避けることはできません。
そこで頼りになるのが、「セキュリティ対策商品」です!
「パスワードマネージャー」でパスワードを徹底管理・自動入力
(画像引用:トレンドマイクロ パスワードマネージャー)
パスワードリスト攻撃に遭わないためには、強固なパスワードを設定することと、同じパスワードを使い回さないことが大切。
管理が面倒に感じる方には、「トレンドマイクロ パスワードマネージャー」をおすすめします。
- 安全で強固なパスワードを自動で生成
- サイトへログイン時、「パスワードマネージャー」がIDとパスワードを自動で入力
- ID / パスワードをクラウド上で管理しどの端末からでも確認可能
- 利用者の個人情報がダークウェブに流れていないか確認
- すでにダークウェブに流れてしまった個人情報を探し変更すべきログイン情報を通知
【トレンドマイクロ パスワードマネージャーの機能】
「ESET」でウイルスや不正アクセスを即ブロック
パスワードを含め、個人情報はフィッシングメールやウイルス感染により漏洩するため、ウイルス対策ソフトの導入が必須。
数あるウイルス対策ソフトの中で迷ったら、「ESET」をおすすめします。
ESETは外部からの侵入者を徹底ブロックする機能に特化しており、ウイルスや怪しいURLを添付したメールによる被害から守ります。
- 3種類のパッケージがあり、防御範囲を選べる
- ウイルス付きメールを即ブロック
- 新発見のウイルスでも即ブロック
- 送信元がはっきりしない怪しいメールを即ブロック
- アカウント情報その他個人情報を一元管理
【ESETの機能】
>ESET<
「Cyber Box Pro」で企業のセキュリティをオールカバー
ウイルスや不正アクセスなどのサイバー攻撃の脅威は、社内ネットワークやインターネットなど様々な箇所に存在します。
- 自社ではセキュリティ対策をするためのリソースがなく、なかなか対策に踏み切れません…
- そんなときは、最高峰のセキュリティーシステム「Cyber Box Pro」を導入しましょう。これを1台導入するだけで、以下の機能が使えます。
- 「ESET」がすでにパッケージ内に入っている
- 「ESET」と「Cyber Box Pro」2つの機能がウイルスを検知
- IDS / IPS(不正侵入検知・防御システム)機能付き
- 外部からの遠隔操作を受け付けない
- 社内ネットワークや社員専用サイトへの不正アクセスを監視
- 当製品1台だけで役員のPCおよび社員全員のセキュリティ管理が可能
- 複数の拠点の操作ログを一度に監視及び管理
【Cyber Box Proの機能】
「ESET」や「IDS/IPS(不正侵入検知・防御システム)」を搭載しており、これ1台で社員全員のセキュリティが守られるので安心。
不正アクセスやウイルスだけではなく、あらゆるサイバー攻撃に対して『オールインワンでブロック』してくれます。
Cyber Box Proが少しでも気になる方は、ぜひお気軽にOFFICE110へお問合せください。
まとめ
パスワードリスト攻撃は、犯人があらかじめ手に入れたパスワード情報で本人になりすまして侵入する手口です。
パスワードを複数のサイトで使い回している場合、一つのパスワードが漏洩すると他のサイトも侵入される危険性があります。
- パスワードの使い回しは危険と分かっているのですが、管理が面倒でつい使い回してしまいます。
- だからこそ、パスワード管理が簡単で使いやすい方法を選びましょう!ただアプリなど管理ツールを使っても安全とは言い切れないので、総合的にセキュリティ対策をすることをおすすめします。
総合的にセキュリティ対策をするなら、OFFICE110の「Cyber Box Pro」がおすすめ。
またOFFICE110なら通常は10万円以上のセキュリティ診断を無料で実施しておりますので、自社のセキュリティに不安をお持ちの方はぜひお気軽にお問合せください!
すぐにご連絡ください!