パスワードリスト攻撃は攻撃者が以前に漏洩したり、何らかの方法で入手したユーザーIDとパスワードの組み合わせのリストを用いて、正規のユーザーとして不正にログインを試みます。ここでは、パスワードリスト攻撃の全体像から、具体的な被害事例、そして攻撃を受けた場合の対策までを詳しく解説します。
パスワードリスト攻撃とは
パスワードリスト攻撃は、「アカウントリスト攻撃」や「リスト型アカウントハッキング」とも呼ばれ、サイバー攻撃の一種です。攻撃者は、公開されたり漏洩したりしたIDとパスワードのリストを用いて、多数のアカウントに対してログインを試みます。この攻撃の特徴は、既に存在するユーザー情報を利用するため、防御が難しい点にあります。
パスワードリスト攻撃に遭う原因
この攻撃に遭う主な原因は二つあります。
- パスワードやユーザーIDの使いまわし: 多くのユーザーが異なるサービスで同じパスワードやIDを使いまわしています。一箇所で漏洩したログイン情報が、他のサービスでも使われているため、攻撃者にとっては容易にアクセスできるチャンスが増えます。
- フィッシング詐欺によるログイン情報の窃取: ユーザーがフィッシング詐欺に騙され、攻撃者が設置した偽のログインページに自らの情報を入力してしまうケースもあります。これにより、攻撃者は正規のログイン情報を手に入れることができます。
パスワードリスト攻撃の被害事例
パスワードリスト攻撃による被害は、個人情報の漏洩、金銭的損失、企業の信頼性低下など多岐にわたります。特に企業では、重要な業務情報の漏洩による経済的損害や、サービスの停止に追い込まれる恐れがあります。下記は実際におきたパスワードリスト攻撃の被害事例です。
不正購入被害1,000件「ドコモオンラインショップ」(2018年)
ドコモのオンラインストアが、外部サービスから流出したIDとパスワードを使ったリスト型攻撃によって不正アクセスを受け、約1000台のスマートフォンが不正に購入される被害が発生しました。「iPhone X」などの機種が無断で購入され、コンビニ受取を利用して端末が盗まれるという手口でした。この事件をきっかけにドコモはセキュリティ対策を強化し、不正に契約された端末の支払いを免除する措置を取りました。
参照元:不正なアクセス対策としての「2段階認証」ご利用のお願い
約46万件の個人情報漏洩「ユニクロ・GUオンラインストア」(2019年)
ファーストリテイリングとその傘下のユニクロ及びジーユー(GU)は、自社の公式オンラインストアがパスワードリスト攻撃を受け、約46万件のIDが不正にログインされたことを公表しました。この攻撃により、顧客の氏名、住所、電話番号などの個人情報が第三者に閲覧された可能性があります。さらに、クレジットカード番号の一部や、ユーザーが登録していた身体のサイズ情報も閲覧された可能性があるとされています。ただし、クレジットカードのセキュリティコードは保存していないため、これが漏えいした可能性はありません。 対策として、同社は該当するIDのパスワードを無効化し、ユーザーにパスワード変更を促しています。不正ログインの試行が確認されたのは4月23日から5月10日の間で、同社は不正アクセスの発生源を特定し遮断する措置を講じました。
引用:「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて
ブルートフォース攻撃・辞書攻撃との違い
パスワードリスト攻撃は、事前に入手したログイン情報を基に不正アクセスを試みる点で、ブルートフォース攻撃や辞書攻撃とは異なります。後者は、すべての可能性を試すか、一般的な単語やパターンを用いてアクセスを試みますが、パスワードリスト攻撃は特定のリストをもとに行われるため、比較的成功率が高くなります。
パスワードリスト攻撃の対策方法
パスワードリスト攻撃に対する対策は、個人ユーザーと企業の両方で行う必要があります。
- 個人ユーザーの対策: 異なるサービスで異なるパスワードを使用し、パスワード管理ツールを活用することが推奨されます。また、多要素認証の導入も有効です。
- 企業の対策: ログイン機能の強化、ログイン試行回数の制限、不正アクセス検知ツールの導入などが有効です。二段階認証や生体認証など、セキュリティを高めるログイン方法の導入を検討することが望ましいです。
パスワードリスト攻撃への対策は、セキュリティ意識の高いパスワード管理から始まります。パスワードを定期的に変更し、使いまわしを避けること、そして不審なメールには注意深く対処することが重要です。企業は、ユーザー教育の徹底とともに、先進的なセキュリティ技術の導入により、攻撃のリスクを最小限に抑えることができます。
アクトのサイバーセキュリティ対策支援
アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。
また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。