不正に入手したIDとパスワードを使って、企業のウェブサイトにログインを繰り返す攻撃手法。大手企業が相次いで被害を受け、早急な対応が求められている。


 企業の情報漏洩が後を絶ちません。攻撃者はあの手この手で企業のウェブサイトに侵入し、顧客情報などを抜き出そうとしています。企業の対応が後手に回っている印象は拭えません。

 そんななかで最近、急増している攻撃方法がリスト型攻撃です。リスト型攻撃とは、不正にIDやパスワードといった顧客情報を入手し、ウェブサイトにログインしようとするやり方を指します。

 例えば、あるウェブサイトから顧客情報を抜き取り、その情報を使って別のサイトのログインを試行します。コンピュータプログラム(ボット)を使って手当たり次第にログインを試すため、もしIDとパスワードを使い回している人がいれば、サイトへの侵入を許してしまいます。

 セキュリティー対策サービスを手掛ける専門家は「リスト型攻撃は成功率が10%を超えるケースがある」と指摘します。“最大”の防御策は、利用者がIDとパスワードの使い回しをやめること。しかし現実には、多くの人が使い勝手や記憶しやすさを優先して、複数のサイトで同じIDとパスワードを使っています。