2014年03月03日
トレンド解説

検知しにくい「パスワードリスト攻撃」が拡大中、多要素認証こそ防御の要

坂尻 浩孝=シマンテック テクニカルディレクター
  • このエントリーをはてなブックマークに追加

 多数のオンラインサービスを利用しているユーザーは、サービスごとのユーザーIDとパスワードの組み合わせをすべて覚えるのが困難なため、同じパスワードを使い回す傾向がある。しかし最近は、その脆弱な運用を狙った「パスワードリスト攻撃」がはびこっている。攻撃の特徴や、企業としての対処方法を解説する。

 企業システムや個人向けオンラインサービス、アプリケーションやOSなど、さまざまなシステムで、ユーザーIDとパスワードの組み合わせによる認証が利用されている。

 しかし、利用するシステム/サービスの数が多いと、ID/パスワードの何種類もの組み合わせを覚えておくのは難しい。シマンテックがインターネットユーザー300人に調査したところ、記憶できるID/パスワードの組み合わせは2~3種類以下という回答が70%に達した。つまり、ネット通販やネットバンキング、ソーシャルメディアなどインターネット上の複数のサービスを利用するのが一般的になっている現在、異なるサービスで同じパスワードを使い回しているユーザーは決して少なくないはずだ。「パスワードリスト攻撃」は、こうしたパスワード運用の脆弱性を突く巧みな攻撃である。

 パスワードリスト攻撃では、A社のサイトから不正な手段で入手したID/パスワードのリストを用いて、別のB社・C社・D社などのサイトへ不正なログインを試みる(図1)。いったんログインできてしまえば、正規のユーザーになりすまして、氏名、生年月日、住所、クレジットカード番号などの登録情報を窃取したり、ユーザーID/パスワードなどのログイン情報を書き換えて正規のユーザーがログインできなくなるようにしたりすることもできる。

図1●パスワードリスト攻撃の仕組み
攻撃者は、不正に入手したA社サイトのID/パスワードの組み合わせを、異なるサイトで試行する。背景にはユーザーによるパスワードの使い回しという問題がある
[画像のクリックで拡大表示]

 個人向けサービスでは、ユーザーIDとしてメールアドレスを使用させるサイトが多い。またユーザー自身も忘失を避けるために、パスワードだけでなくIDも使い回す傾向がある。そのため、A社サイトのユーザーログイン情報を入手できれば、それを使って別のB社・C社・D社のサイトにも不正にログインできる可能性が高まる。