リスト型アカウントハッキング

2019/08/02
Blog ~Webのチカラ~, セキュリティ

既存のWebサービスなどから流出、もしくは不正に入手したアカウント情報(IDとパスワード)のリスト使って、別のWebサービスに対して不正ログインを試みるサイバー攻撃。

不正ログインに成功すると、パスワードを変更するなどして本人が接続できなくなったり、更に、本人になりすまして情報操作をおこなったり、個人情報を不正に入手します。

「リスト攻撃」 「リスト型攻撃」「パスワードリスト攻撃」「アカウントリスト攻撃」とも呼ばれます。

原因と防御策

パスワードの入手方法

攻撃者はどうやってIDやパスワードを入手することができるのでしょうか。
考えられる原因はいくつもあります。

  • 他のサービスからの情報漏洩・ 不正入手。
  • スパイウェア等の不正なプログラムを使用して、端末から情報を不正入手。
  • 情報搾取の目的で作成したサイト( フィッシングサイト )で、利用者に直接情報を入力させることにより、不正に入手。
  • 情報を知り得る立場にあった元従業員や知人等による漏洩、不正利用。
  • 利用者から聞き出す。のぞき見する。

利用者側が自分でできる対策

  • 複数のサイトで同じID・パスワードを使いまわししない。
    一つのサイトで情報が流出した場合に、ID・パスワードが合致することを防ぎます。
  • 利用しないサイトのアカウントは、削除する
    利用していないサイトからの情報漏洩があった場合、被害に気付くのが遅れたり、被害に気付かない場合もあります。
    利用しないサイトのアカウントは削除しておきましょう。
  • セキュリティソフトをインストールする。
    スパイウェア、不正なサイトへの接続など危険を回避し、不正プログラムによる情報搾取を防ぎます。
  • メールやサイト内のリンクを安易にクリックしない。
    安易にクリックしたリンク先には、フィッシングサイトやスパイウェアを埋め込むスクリプトなど、危険が潜んでいます。
  • 誕生日・電話番号・住所など、想定しやすいIDやパスワードを設定しない。また、これらの個人情報を安易に公開しない。
    誕生日・電話番号・住所など 、個人情報を知り得る仲であれば、パスワードに辿り着くことも可能かもしれません。
    安易に個人情報を他人に知らせることは、危険だと思うべきです。
  • 他人の前でIDやパスワードの入力画面を開かない。入力しない。
    カフェ、図書館、講座やセミナー会場など、他人がいる場所でIDやパスワードの入力が必要な場合、覗き見られる可能性があることを意識してください。
    PCやスマホなど端末を置いたまま、席を離れるのも危険です。

サービスを提供する側ができる対策

  • ID・パスワードの安全管理・注意喚起
    たとえ厳しく管理をしても、他のサービスから漏洩したID・パスワードを使って攻撃されるリスクもあります。
    2段階認証の導入、パスワード使いまわしへの注意喚起、パスワードに期限を設けるなど、セキュリティ環境を準備するべきです。
  • 推測が容易なパスワードを拒否する
    アカウント登録の時点で、簡単で推測容易なパスワードを拒否し、長いパスワード、推測しにくいパスワードを設定できるように誘導します。
  • 休眠アカウントの排除
    長期間利用されていないアカウントは定期的に削除し、利用者にも注意を促します。
  • アカウントのロックアウト
    連続してID・パスワードの入力間違いがあった場合に、接続に制限をかけるシステムです。
    誤入力の回数を指定したり、一定時間ログインできないようにするなど、不正な侵入を防ぎます。
  • IPアドレスによるファイヤーウォール設定
    ハッキング行為が疑われる特定のIPアドレスや、利用者が事前に承認していないIPアドレス、普段利用しないIPアドレスからの接続を遮断することにより、不正な侵入を防ぎます。
  • ログイン履歴の表示
    該当のID・パスワードでのログイン履歴を残し、利用者に表示することで、利用者が覚えのない不正な接続を発見できます。

もしも被害にあったら ~被害の拡大を防ぐために~

もしも被害にあった場合、また、被害が発生したサイトを利用していた場合、更なる被害拡大を防ぐ方法もあります。

  • 他のサイトのID・パスワードを変更する。
  • 他のサイトのクレジットカード情報や支払い情報など、設定を変更・削除する。

自分の情報は自分で守る

便利なサイトやサービスを安全に利用するために、自分の情報は自分で守る意識が必要です。
もちろん、被害が出た場合には、サービス提供側の責任が問われることになりますが、セキュリティ対策のスタートは、サービスを利用する自分自身であると認識してください。

  • 自分でID・パスワードの管理をする。
    IDやパスワードの管理は面倒ですか?
    なら、利用するサービスを減らせばよいでしょう。
    むやみな利用登録を控え、自分で管理できる範囲に収めることも必要です。
  • サイトやサービスの必要性を熟考する。
    そのサービスを本当に利用するかどうか、サイトのセキュリティを確認し、サービスの内容を確認し、意思決定をします。
  • 登録する情報は、必要最低限に控える。
    クレジットカードなど支払い情報は、必須でない限り登録しない。
    サイトやサービスを利用するうえで、支払い情報の入力が必要であれば、本当にそのサービスが自分にとって必要かどうか、サイトやサービスの利用自体を考え直すことも必要です。

これらを常に意識することで、セキュリティ対策になります。
便利と隣り合わせにある危険を知り、自分で選択することで、サービスをより安全に便利に利用できると思います。

参考URL
ITトレンド
「リスト型アカウントハッキング攻撃の特性と対策とは」
https://it-trend.jp/onetime_password/article/cyber_attack_series

総務省
「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html

関連記事

©Oz-style