多数のオンラインサービスを利用しているユーザーは、サービスごとのユーザーIDとパスワードの組み合わせをすべて覚えるのが困難なため、同じパスワードを使い回す傾向がある。しかし最近は、その脆弱な運用を狙った「パスワードリスト攻撃」がはびこっている。攻撃の特徴や、企業としての対処方法を解説する。
企業システムや個人向けオンラインサービス、アプリケーションやOSなど、さまざまなシステムで、ユーザーIDとパスワードの組み合わせによる認証が利用されている。
しかし、利用するシステム/サービスの数が多いと、ID/パスワードの何種類もの組み合わせを覚えておくのは難しい。シマンテックがインターネットユーザー300人に調査したところ、記憶できるID/パスワードの組み合わせは2~3種類以下という回答が70%に達した。つまり、ネット通販やネットバンキング、ソーシャルメディアなどインターネット上の複数のサービスを利用するのが一般的になっている現在、異なるサービスで同じパスワードを使い回しているユーザーは決して少なくないはずだ。「パスワードリスト攻撃」は、こうしたパスワード運用の脆弱性を突く巧みな攻撃である。
パスワードリスト攻撃では、A社のサイトから不正な手段で入手したID/パスワードのリストを用いて、別のB社・C社・D社などのサイトへ不正なログインを試みる(図1)。いったんログインできてしまえば、正規のユーザーになりすまして、氏名、生年月日、住所、クレジットカード番号などの登録情報を窃取したり、ユーザーID/パスワードなどのログイン情報を書き換えて正規のユーザーがログインできなくなるようにしたりすることもできる。
個人向けサービスでは、ユーザーIDとしてメールアドレスを使用させるサイトが多い。またユーザー自身も忘失を避けるために、パスワードだけでなくIDも使い回す傾向がある。そのため、A社サイトのユーザーログイン情報を入手できれば、それを使って別のB社・C社・D社のサイトにも不正にログインできる可能性が高まる。