パスワードの使い回しが引き起こす「パスワードリスト攻撃」。2013年ころから本格化し、手口は巧妙化する一方だ。各所の啓発活動は続くが使い回しは無くならない。攻撃が成功することを前提に、パスワードのハッシュ化などで対策しよう。
今回は「パスワードリスト攻撃(リスト型攻撃)」の対策を解説します。リスト型攻撃は、脆弱なサイトから漏洩したID/パスワードといったアカウント認証情報を悪用し、利用者のアカウントの乗っ取りを狙う攻撃です。
攻撃者はログインを自動化するツールを使って、様々な会員制Webサイトでログインを試みます。国内では2013年ころから本格化し、多数の被害が出ています。アカウントの乗っ取りを完全に防ぐのは難しく、会員向けWebサイトを運用する企業や団体のCSIRT(セキュリティ事故対応チーム)にとって悩ましい攻撃の一つです。
リスト型攻撃では利用者がPCをセキュアに保っていても、アカウントの乗っ取りが発生します。乗っ取られた結果、攻撃者が不正に注文するなどの実害が発生し、乗っ取られた被害者がクレームを出すケースもあります。
不正注文などが生じればクレジットカード会社や取引先など関係者にも損害が出て、対応が必要となってくるでしょう。アカウント情報を漏洩していないWebサイト運営事業者でも、リスト型攻撃の被害に遭うと「ID・パスワードが流出した」と報じられて、風評被害に発展するケースもあります。
