企業サイトを狙うリスト型アカウントハッキング

リスト型アカウントハッキングの手口

2014年6月頃から、国内の企業サイトを狙って「リスト型アカウントハッキング（リスト型攻撃）」 と呼ばれる手法を用いた不正アクセス事件が多発しています。

リスト型アカウントハッキングとは、まず他社のWebサービスから何らかの形で流出したアカウントの情報 （ユーザーIDとパスワード）のリストを入手し、これを利用して、他のWebサービスに対して不正なログインを 試みるサイバー攻撃のことです。

ユーザーが複数のサイトでIDやパスワードを使い回していると、そのうちの一つのサイトからアカウント情報が 流出した場合、流出情報のリストを利用して不正にログインされ、アカウントを乗っ取られてしまうのです。 不正ログインによりアカウントのユーザーになりすまされると、蓄積していたポイントの不正使用、 メールアドレスなどの個人情報の閲覧、本人になりすましてのコメントの投稿などの被害に遭うおそれがあります。

企業への被害

このパスワードリスト型ハッキングによる攻撃は、2014年6月に不正アクセスによる被害を発表した企業のうち、 ドワンゴとミクシィの2社を例に取ってみても、ログイン試行回数は実に800万回弱にも及び、このうち実際に 不正ログインに成功した回数は50万回にものぼりました。ドワンゴは不正ログインを試みたアクセス元の IPアドレスを特定したものの、攻撃者はIPアドレスを変えながら攻撃を続けたとみられ、 攻撃を封じ込めることはできていません。

リスト型攻撃への対策

攻撃者に頻繁にIPアドレスを変えられてしまうと、正規のユーザーのログイン試行と区別することは難しくなります。 あまり厳格にログインを制限してしまうと、今度はユーザーの利便性が損なわれる事態になりかねないため、 サイト管理者の側としては、抜本的な対策を講じるのは難しいのです。

一方、ユーザー側としては、「複数のサイトで同じパスワードを使い回さない」というのが 唯一最大の対策となります。どうしても複数のパスワードを覚えられないのであれば、利用するサイトを 重要度によって区別し、不正にアクセスされた場合に被害が大きい重要なサービスだけでも、 別のパスワードを使用すると良いでしょう。

攻撃者はポイントを不正利用して金銭を得たり、不正入手した個人情報の売却することを目的としています。 そのようなメリットがある限り、今後もリスト型アカウントハッキングは繰り返されるでしょう。 不正アクセスの被害に遭う前に、パスワードの使い回しはやめましょう。