セキュリティの
学び場

今回の解説ニュース

パスワードリスト型攻撃により、個人情報が漏洩してしまったということです。パスワードリスト型攻撃の内容と、その対策について説明します。

今回のインシデントは、約13万2,000アカウントが不正ログインを受け、個人情報が漏えいした可能性があるということです。原因として、第三者が外部サービスから不正に取得したと推測される大量のユーザーIDとパスワード情報を用いたパスワードリスト型攻撃が挙げられています。

対策として、不正ログインの可能性がある顧客のアカウントに対し、順次パスワードリセットを行うとともに、メールで連絡を行っています。再発防止策として、今後、厳重な情報セキュリティ体制の構築と強化を図り、安全性の確保に努めるということです。

被害に気が付きにくい？パスワードリスト型攻撃とは

パスワードリスト型攻撃とは、過去に流出したユーザIDとパスワードを用いて、別のサービスへの不正ログインを試みる攻撃手法です。複雑なパスワードを設定していたとしても、複数のサービスでパスワードが使いまわされていた場合に被害にあってしまう可能性があります。

例えば、Aさんは会社やプライベートで複数のSaaSやSNSを使っているのではないかと思います。使っているサービスごとに、担保されているセキュリティレベルも様々であると考えられます。仮に1つのサービスでセキュリティ対策が十分ではなく、パスワードが漏えいしてしまったとします。

一方で、Aさんが各サービスでどのようなパスワードを設定しているかも重要です。ユーザIDにメールアドレスが使われているサービスが多い中で、仮に同じパスワードを使いまわしていたとすると、同じユーザIDとパスワードの組み合わせでログインできるサービスが複数あることになります。

この状態で、1つのユーザIDとパスワードの組み合わせが漏洩してしまうと、複数のサービスでパスワードリスト型攻撃の被害にあう可能性が出てきます。また、パスワードリスト型攻撃は、検知することが難しい場合があります。理由として、一般的なパスワードに対する攻撃は、1つのアカウントに対して複数のパスワードを使って攻撃することが多いため、連続して認証に失敗した回数をカウントすることでアカウントにロックをかけて守ることができます。

しかし、パスワードリスト型攻撃は、ユーザIDとパスワードの組み合わせで攻撃するため、特定のユーザIDで認証失敗が連続することはありません。また、他のパスワードに対する攻撃と比較して、パスワードリスト型攻撃は成功確率も高いため、攻撃自体に時間をかけることができるかもしれません。よって、パスワードの入力間違いなど、通常の認証失敗と区別することが難しいことも、検出を困難にしている原因の一つであると言うことができます。

パスワードリスト型攻撃を防ぐための有効な対策は？

パスワードリスト型攻撃を防ぐためには、ユーザ側ではパスワード使いまわしを避けること、システム側では二段階認証の機能を提供することが有効です。先ほども説明しましたが、パスワードリスト型攻撃は、漏えいしたユーザIDとパスワードの組み合わせを使って、別のサービスを攻撃します。

言い方を変えると、完全に同じユーザIDとパスワードの組み合わせを別のサービスで使っていなければ、パスワードリスト型攻撃の被害を受けることはありません。ユーザIDはメールアドレスなどで固定されてしまう場合がありますので、ユーザ側として、パスワードはサービスごとに固有で設定することが求められます。もし、パスワードを覚えられない場合は、パスワードマネージャを使うことも有効です。

パスワードリスト型攻撃の被害が多く確認されている現状を鑑みて、ユーザIDとパスワードだけの組み合わせで認証されてしまうことがそもそも脆弱であると考えられます。仮に、ユーザIDとパスワードが漏えいしてしまった場合でも、本人からの認証のみを受け付けるために、システム側として二段階認証の仕組みを提供することが求められます。会社で使うシステムなどでは、管理者がサービスの設定で二段階認証を強制することも有効です。

今回は、パスワードリスト型攻撃の内容と、その対策についてお届けしました。