他社のWebサービスなどから流出したアカウント(ユーザーIDとパスワード)のリストを使って、別のWebサービスに対して不正ログインを試みる「リスト型攻撃」が後を絶たない(図1)。国内ネットサービスの多くが被害に遭っている(関連記事:「リスト型攻撃」が止まらない)。

図1●リスト攻撃のイメージ図
図1●リスト攻撃のイメージ図
[画像のクリックで拡大表示]

 リスト型攻撃は、「リスト攻撃」「パスワードリスト攻撃」「アカウントリスト攻撃」などと呼ばれている。2013年末ごろからは、総務省が発表資料などで「リスト型アカウントハッキング」という名称を使っているため、Webサービス提供者なども、この名称を使うようになっている(関連記事:リスト型アカウントハッキング)。

 リスト型攻撃では、特定のIPアドレスから、数万回から数百万回にわたって不正なログインが試行される。だが、一つのユーザーIDに対するログイン試行は1~2回であることがほとんどなので、正規ユーザーのログイン試行と区別することが難しい。Webサービス提供者側ではリスト型攻撃を防ぎきれないのが現状だ。このため、ユーザーがパスワードの使い回しをしないことが、何よりも有効な対策となる。

 とはいうものの、使い回しをしないことは非常に難しいのではないかと、個人的には思っている。この考えが間違っていないことを“確信”させる調査結果が公開されたので紹介しよう。

4人に1人は使い回している

 情報処理推進機構(IPA)は2014年8月5日、「オンライン本人認証方式の実態調査」報告書を公開した。IPAでは、リスト型攻撃が多発していることを受け、ネットサービスのユーザーおよびサービス提供者それぞれのオンライン本人認証(パスワード認証など)の実態を調査した。