セキュリティの
学び場

今回の解説ニュース

ゲーム会社のアカウント管理システムがパスワードリスト型攻撃を受けたということです。パスワードリスト型攻撃の被害にあった際にユーザができる対策と、今後被害にあわないための再発防止策について説明します。

今回のインシデントでは、第三者からゲーム会社のアカウント管理システムへの不正アクセスを試みる攻撃が確認されました。原因として、他社のオンラインサービスで流出したと推測されるメールアドレスとパスワードを組み合わせた、パスワードリスト型攻撃が挙げられています。

対策として、不正アクセスの被害があったと推測されるアカウントに対し、アカウント自体のログイン制限を実施して被害拡大を防止し、ログイン制限を行ったアカウントには、案内メールを送信しています。また、今後も継続して不正アクセスが増加する場合には、すべてのアカウントに対し、強制的にパスワードのリセットを行う可能性もあるということです。

知らない間に被害に、不正アクセス被害に気付くには

ユーザ側で不正アクセスに気が付く方法として、アカウントのアクティビティに関する情報を定期的に確認する方法が挙げられます。

例えば、Googleアカウントであれば過去28日間のセキュリティに関するアクティビティを表示して、不審なアクティビティを確認することができます。例えば、「新しいデバイスでのログイン」や「パスワードの変更」など、アカウントで何らかの重要な操作が行われると、Google からメールや通知などの方法でセキュリティ通知が送信されます。

アクティビティを確認したら、記載された時間や場所とデバイスで操作した覚えがあるか思い出してみましょう。例えば、自分のアカウントが深夜にブラジルで使われていたとしたら、不審なアクティビティと考えた方がいいかもしれません。心当たりがないアクティビティの場合はアカウントを保護する操作が必要です。通常は、不審なアクティビティに対してログアウトの処理が行われます。

アクティビティを確認できるサービスも増えてきましたので、重要なアカウントではユーザ側でも定期的にアクティビティを確認するようにしましょう。

様々な場面で利用されるパスワード、管理はどうする？

パスワードの管理について、複数のサービスで使いまわさないこと以外に、重要なサービスではそのパスワードが知られてしまっても、問題のない状態にすることが必要です。

例えば、メールアドレスをサービス毎に使い分けているなどは、アカウント情報をつかさどるIDとパスワードの両方を使いまわさないという試みですので、対策としては有効であると考えられます。今回は、パスワードリスト型攻撃について、それ以外の対策について一歩踏み込んで説明します。

まず、ワンタイムパスワードの利用が挙げられます。ワンタイムパスワードとは、一定時間のみ有効で、一度ログインに使用すると無効になるパスワードです。パスワードを使い捨てにすることで、パスワードが変更されない限り有効であり続けるリスクを軽減させることができます。今回、被害にあったサービスでも提供されていますので、ワンタイムパスワードを使っていたユーザはアカウントが保護されている可能性があります。ちなみに、パスワードリスト型攻撃の対策として、まず最初に挙げられる二段階認証にも、ワンタイムパスワードの技術が使われています。

今回は、パスワードリスト型攻撃についてユーザができる対策と再発防止策についてお届けしました。インターネットでは自分の身を自分で守ることが必要ですので、ワンタイムパスワードや二段階認証に限らず、利用しているサービスから提供されているセキュリティ機能は積極的に活用して行きましょう。