この連載も最終回である。不正アクセスやアカウント情報の流出事件がかつてない頻度で発生している。多くの事件では攻撃を受けたサイトを調査したあと、パスワードを強制的にリセットすることで対応しているが、十分とは言えない。長期的にはユーザーIDが持つ三つの役割を分離してシステムを改修する必要がある。

 不正アクセスやアカウント情報の流出事件は4~6月にかけてこれまでにないペースで相次いだ。

 三越伊勢丹ホールディングスは5月25日、同社のオンラインショッピングサイトに対して不正IPアドレスによるログイン試行が行われ、最大8289件の不正ログインが行われた可能性があることを明らかにした。同社はこのオンラインショッピングサイトの再開に当たり、利用者のパスワードを強制的にリセットしている。

 被害を公表したサイトだけが攻撃を受けたと考えるのは無理がある。日本および世界で、規模の大小を問わず幅広いサイトが攻撃されているはずだ。企業は自社サイトについて攻撃の有無を必ず点検してほしい。

 不正アクセスやアカウント情報の流出事件のうち、ログイン試行で攻撃され、試行件数が明らかになっている事件をにまとめた。別のサイトに対する攻撃で不正に入手したと思われるIDとパスワードを悪用した事件が多い。表の中ではイーブックイニシアティブジャパン、ディノス、資生堂が自社サイトの攻撃に他サイトのユーザーIDやパスワードが悪用されたと発表資料に記載している。

表●ログイン試行で攻撃されて試行件数が明らかになっている事件の例
[画像のクリックで拡大表示]

 特に、イーブックイニシアティブジャパン事件におけるログイン率は高い。386個のIDはわずか1回の試行でログインされ、347個のIDは2回の試行でログインされている。ID1個当たりの試行回数も最大5回と少ない。同社は発表資料で「他のサービスのログインIDとパスワードを不正に入手し、利用者がログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログイン」しようとしたと説明する。

 対策の一つは、攻撃の早期発見である。ログイン試行攻撃では、海外あるいは不正なIPアドレスのコンピュータで機械的に対象サイトにログインを試す。通常より、失敗するログイン回数が多い、サーバーの負荷が高いといった現象を監視し、発見したらアクセスを即座に遮断する。早く発見するほど、被害は小さくなる。