国内企業のWebサイトを狙った「リスト型攻撃(パスワードリスト攻撃、リスト型アカウントハッキング)」が止まらない(関連記事:JALが最大75万件の顧客情報漏洩 ドコモ、佐川、ヤマト、JR東も攻撃受ける)。
リスト型攻撃とは、別のWebサイトなどから入手したユーザーIDとパスワードのリストを使って不正ログインを試行する攻撃手法。これだけ頻発しているところをみると、国内企業を対象とした攻撃手法が“確立”していると考えられる。同様の攻撃は今後も続くだろう。
リスト型攻撃が“成功”するのは、パスワードを使い回しているユーザーが多数いるためにほかならない。このため、「リスト型攻撃を受けたWebサイトは被害者。悪いのは、パスワード管理が不十分なユーザー」といった言われ方をされることが少なくない。
ただ、そうとばかりは言い切れないだろう。ユーザーにとってパスワード管理は苦痛以外の何物でもない。Webサイトを運営する企業側は、パスワードを使い回すユーザーがいることを前提にした対策が求められる。前述の関連記事にも書かれているが、パスワードを使い回さないよう注意喚起するだけでは不十分で、多段階認証(二段階認証)などの仕組みを整えることが急務だ。
ワンタイムパスワードなどを利用する多段階認証に比べればセキュリティレベルはぐっと下がるが、ユーザーIDとパスワードに加えて、もう一つ、ログインに必要な情報を用意するだけでも、リスト型攻撃対策になると個人的には考えている。例えば、暗証番号(PIN)や生年月日、メールアドレスなどを、ユーザーIDとパスワードに加えて入力させるようにすれば、別のWebサイトから入手したリストをそのまま使うことはできなくなる。
もちろん、恒久的な対策としては不十分なのは承知している。多段階認証などを導入するまでの暫定的な対策として考えるべきだろう。ただ、攻撃の“成功率”を下げることはできるはずだ。会員制のWebサイトは、いつ攻撃を受けても不思議ではないのが現状だ。不十分であっても、やらないよりはまし。とにかく、何らかの対策を今すぐに実施すべきだ。
