企業サイトを狙うリスト型アカウントハッキング

情報セキュリティ

皆様、はじめまして。インターネット・アカデミーの有滝です。 私が発信するブログのメインテーマは「情報セキュリティ」です。

近年、顧客情報や企業の機密情報を守る上で、求められるセキュリティ技術者のレベルが 高まってきており、それに伴って情報セキュリティの企業研修ニーズも急増しています。また、情報セキュリティに対する意識が低いスタッフが企業内に1人でもいれば、それだけで情報流出の リスクが高まるため、全社員が情報セキュリティの基本を学ばなければいけない時代になりました。

しかしながら、情報セキュリティを体系的にわかりやすく解説している情報サイトは少ないのも事実です。 そのような背景から、ブログを通じて最近話題になっているサイバー攻撃手法やその対策などのノウハウを 皆様に伝えていきたいと考えています。

情報セキュリティを学ぶ上で、まずは最近の事例を数回にわたり取り上げてみます。 今日は「リスト型アカウントハッキング」と呼ばれる不正アクセスに関わる事例をご紹介します。

IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。

目次

リスト型アカウントハッキングの手口

2014年6月頃から、国内の企業サイトを狙って「リスト型アカウントハッキング(リスト型攻撃)」 と呼ばれる手法を用いた不正アクセス事件が多発しています。

リスト型アカウントハッキングとは、まず他社のWebサービスから何らかの形で流出したアカウントの情報 (ユーザーIDとパスワード)のリストを入手し、これを利用して、他のWebサービスに対して不正なログインを 試みるサイバー攻撃のことです。

ユーザーが複数のサイトでIDやパスワードを使い回していると、そのうちの一つのサイトからアカウント情報が 流出した場合、流出情報のリストを利用して不正にログインされ、アカウントを乗っ取られてしまうのです。 不正ログインによりアカウントのユーザーになりすまされると、蓄積していたポイントの不正使用、 メールアドレスなどの個人情報の閲覧、本人になりすましてのコメントの投稿などの被害に遭うおそれがあります。

企業への被害

このパスワードリスト型ハッキングによる攻撃は、2014年6月に不正アクセスによる被害を発表した企業のうち、 ドワンゴとミクシィの2社を例に取ってみても、ログイン試行回数は実に800万回弱にも及び、このうち実際に 不正ログインに成功した回数は50万回にものぼりました。ドワンゴは不正ログインを試みたアクセス元の IPアドレスを特定したものの、攻撃者はIPアドレスを変えながら攻撃を続けたとみられ、 攻撃を封じ込めることはできていません。

リスト型攻撃への対策

攻撃者に頻繁にIPアドレスを変えられてしまうと、正規のユーザーのログイン試行と区別することは難しくなります。 あまり厳格にログインを制限してしまうと、今度はユーザーの利便性が損なわれる事態になりかねないため、 サイト管理者の側としては、抜本的な対策を講じるのは難しいのです。

一方、ユーザー側としては、「複数のサイトで同じパスワードを使い回さない」というのが 唯一最大の対策となります。どうしても複数のパスワードを覚えられないのであれば、利用するサイトを 重要度によって区別し、不正にアクセスされた場合に被害が大きい重要なサービスだけでも、 別のパスワードを使用すると良いでしょう。

攻撃者はポイントを不正利用して金銭を得たり、不正入手した個人情報の売却することを目的としています。 そのようなメリットがある限り、今後もリスト型アカウントハッキングは繰り返されるでしょう。 不正アクセスの被害に遭う前に、パスワードの使い回しはやめましょう。