流出したパスワードによる不正アクセスの成功率は?

(イラスト・アニメーション:岸本 ムサシ)

  今回の回答者:
警察庁生活安全局
情報技術犯罪対策課理事官
警察庁技官
奥 隆行

 警察庁では2012年に、IDとパスワードを使うWebサービスにおいて、他サービスから流出したと思われるIDとパスワードのリストを使って不正アクセスを試行された回数とその成功回数を、サービス提供事業者13社の協力を得て集計しました。その結果、成功率は6.7%でした。2013年にも同様の調査を行い、現在集計していますが、5%強になる見込みです。通常のパスワード総当たり攻撃だと、8桁のパスワードでは数千億分の1以下の確率でしか成功しません。つまり、とても高い確率で成功しているといえます。

 この調査は、インターネット利用者が複数のWebサイトで同じIDとパスワードを使い回していることが原因と思われる不正アクセスの実態を調べるために実施しました。調査対象の13社は、オンラインによる通販/ゲーム/金融取引/コミュニティのいずれかのサービスを提供しています。

 流出したと思われるIDとパスワードのリストを使った攻撃は、Webサービス事業者にとって対策をとりにくいものです。その理由は、(1)「1つのIDに対してパスワードが1つしか試されないので、サービス側でロックをかけられない」、(2)「攻撃者同士でリストを売買/共有しているので、いつどこから攻撃してくるのか予期しにくい」からです。ユーザーは、万が一Webサービス事業者からIDとパスワードが漏洩したことをメールなどで知らされたら、そのWebサービスだけでなく別のサービスでもアクセス記録などを確認してください。