【情報セキュリティ】パスワードリスト攻撃の手法と対策

2016.09.07

BUSINESS

セキュリティ

近年、脆弱なインターネットサービスから漏えいしてしまったアカウント情報（IDとパスワード等）を利用した、二次的な攻撃による被害が増加しています。

この攻撃は、あるインターネットサービスを利用するユーザーが、同一のアカウント情報を別のインターネットサービスでも使い回す可能性が高いという習性を突いたもので、「パスワードリスト攻撃（リスト型攻撃）」と呼ばれています。

名称未設定-1

最近では、インターネットサービスの「Ameba」に対してこのパスワードリスト攻撃が行われ、約5万件のアカウントに対して不正アクセスが行われたことが報告されました。

今回は増加するパスワードリスト攻撃がどのような要因によって発生し、どのような対策が必要なのかについて解説します。

INDEX

パスワードリスト攻撃とは？
パスワードリスト攻撃の特徴
パスワードリスト攻撃への対策方法
さいごに

パスワードリスト攻撃とは？

下図のように、攻撃者が事前に入手したユーザーのアカウント情報のリストを利用し、複数のインターネットサービスへの不正アクセスを試みる攻撃のことを「パスワードリスト攻撃（リスト型攻撃）」と呼びます。

パスワードリスト攻撃の概要

パスワードリスト攻撃の被害に合う要因は大きく分けて2つあります。
1つは脆弱なインターネットサービスが攻撃されることでアカウント情報が流出し、攻撃者のもとに渡ってしまうこと。
もう1つは、インターネットサービスを利用するユーザーが、複数のインターネットサービスでアカウント情報を使い回して利用してしまっていることです。

2014年8月にIPA（独立行政法人情報処理推進機構）より発表された報告書によると、金銭に関連したサービスサイト（インターネットバンキングやネットショッピングなど）で同一のパスワードを使い回しているユーザーが全体の約4分の1（25.4%）となっています。

パスワードリスト攻撃の特徴

パスワードリスト攻撃の大きな特徴として、インターネットサービスを利用するユーザーがアカウント情報を厳重に管理しても、攻撃を未然に防ぐことができないという点にあります。

ユーザーがどんなに厳重にアカウント情報を管理していたとしても、その情報を複数のインターネットサービスで使い回してしまうと、ある脆弱なインターネットサービスからアカウント情報が漏えいしてしまうことで、その他の複数のインターネットサービスに対しての不正アクセスが成功してしまいます。

また、パスワードリスト攻撃は不正に入手された正規のアカウント情報により正常なログインの手続きが行われるため、インターネットサービスの提供側もそのログインの試行が攻撃なのかの判断が難しく、不正アクセスに対する対策が難しいという問題も持ち合わせています。

パスワードリスト攻撃への対策方法

パスワードリスト攻撃を未然に防ぐための最も重要な対策方法は、アカウント情報を複数のインターネットサービスで使い回さないことです。

IPAの調査によると、パスワードを使い回してしまう理由は「パスワードを忘れてしまうから」が64.1%と、半分以上を占めています。ですので、インターネットサービスごとに設定したアカウント情報を適切に管理する必要があります。

IPAからは下記の3つの管理方法が提案されています。

A.　紙のメモ

IDとパスワードを記載したリストを紙のメモに保持します。IDとパスワードを別々の紙に分けて管理するとより安全です。紙にメモする場合、ネットワーク経由で窃取される危険はありませんが、紙そのものの紛失・盗難の恐れがあります。そのため、第三者が見てもわからないように記載する必要があります。

B.　電子ファイル(パスワード付き)

IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持します。電子ファイルには、表計算ソフトやテキスト編集ソフトを使います。その電子ファイルにパスワードを設定して保存します。パスワードは表計算ソフトの機能でファイルそのものにかける方法と、zipなどの圧縮ファイルにかける方法とがあります。なお、テキスト編集ソフトの場合はファイルにパスワードはかかりませんので、圧縮ファイルでパスワードを設定します。

C.　パスワード管理ツール

パスワード管理のための信頼のおける専用ツール（ソフトウェア）を使用し、IDとパスワードを保存します。ツールに、“利用しているサービスの ID・パスワード”と“ツールを起動するためのマスターパスワード”を登録しておきます。そのマスターパスワードだけを覚えておけば、ツールを起動して各サービスのIDとパスワードを呼び出すことができます。また最近ではインターネットサービスの認証まで自動で行うツールもあります。こうしたツールを使うことにより利用者はマスタのパスワードのみを管理すれば良くなり、複数のパスワードを記憶する必要がありません。

STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
https://www.jpcert.or.jp/pr/2014/pr140004.html引用元：JPCERTコーディネーションセンター

また、ご利用中のインターネットサービスでパスワードリスト攻撃による不正アクセスの報告があった際には、そのアカウント情報を利用した別のインターネットサービスへの不正アクセスを防ぐために、速やかにアカウント情報を変更するようにしてください。

さいごに

パスワードリスト攻撃の手法と対策についご理解いただけましたでしょうか？

パスワードリスト攻撃による不正アクセスの被害は年々増加しています。この記事をお読みいただいた方でアカウント情報の使い回しにお心当たりがある方は、すぐに変更されることをおすすめします。

さらに詳しい内容は以下の資料をご覧ください。

この記事を書いた人

なかもとソリューション事業部マークアップエンジニア: 企画・営業部を経て、システムエンジニア、マークアップエンジニアとしてweb サイト制作、webアプリケーション開発の上流から下流まで幅広く携わる。ユーザビリティ、アクセシビリティを意識したセマンティックなマークアップとより良いユーザー体験を追及して日々奔走中。三度の飯よりwebが好き。