多くのサイトで「リストアタック」と呼ばれる、ほかのサイトなどで手に入れたIDとパスワードを使って不正にログインする攻撃が多発しているのは、ITproの読者ならご存知だろう(関連記事:Mobageに不正ログイン、「他社サービスから流出したID、パスワードの可能性」、関連記事:Amebaに24万3266件の不正ログイン、ユーザー情報が閲覧された可能性)。

 そして、ここ数日は米AppleのApple IDを狙った攻撃が頻発している。一部セキュリティ関係者の間で話題になっていたが、筆者本人のApple IDにも攻撃があった。実際に筆者が経験したリストアタックの状況を解説するとともに、サイトの運営者が攻撃を防ぐためにとるべき手段を考えてみる。

攻撃を受けるとどうなる?

写真1●Appleから受け取ったからパスワードリセットに関するメール
[画像のクリックで拡大表示]

 まず実際に筆者がApple IDで受けた経験を基に、リスト攻撃を受けた際の状況を見てみよう。

 図1は、筆者がApple IDに対して攻撃を受けた際に、Appleから受け取ったパスワードリセットに関するメールのスクリーンショットである。このメールは図2に示した通り、2013年10月22日から23日の間に5回届いている。つまりこの短期間に5回の攻撃を受けたということだ。

 パスワードのリセットという、攻撃を受けた可能性がある行為(もちろん本人がリセットした場合もあるが)のたびに、ユーザーにメールを届けるサイトは、セキュリティ上の管理が行き届いているといえる。逆にいえば、多くのサイトでは同様の行為があったとしても、それを伝えるメールが届かないことが多い。このあたりは、サイトの運営者のポリシーとセキュリティへの意識の差といえるだろう。

写真2●Appleから受け取ったメールの一覧
[画像のクリックで拡大表示]

リストアタックの本当の被害者はだれ?

 リストアタックを受け第三者によるログインなどが確認された場合、被害を受けたサイトの運営者はお詫びのコメントやメールを公開して、利用者にパスワードを変更するよう依頼している。こうした事件が相次いで発生していることは、記事を目にしたり、自分が注意喚起のメールを受け取ったりすることなどで、多くの人が認知しているはずだ。

 ではこれら事件の本当の被害者は誰なのだろう。ニュース記事やメールで不正ログインを伝える際に、サイトの運営者が「お詫びします」といった文字列を含める場合が多い。このためシステムやシステムを運営している企業に非難が集中しがちだ。

 本当に悪いのはリストアタックをする攻撃者だが、ユーザー本人にも攻撃を受けるすきがある。多くのユーザーは、「忘れやすいから」や「面倒だから」といった理由で、複数のサイトで共通のIDとパスワードを設定してしまいがちだ。