「サイバー攻撃者の目的は金銭」。繰り返し言われていることであるし、実際、事実だろう。2014年に大きな被害をもたらした「リスト型攻撃(リスト型アカウントハッキング、パスワードリスト攻撃)」も例外ではないと考えられる。
だが攻撃者によっては、目先の金銭ではなく、もっと“大きな目的”を持っている可能性がある。Webサイトを運営する企業や組織の全てが警戒した方がよい――。今回、リスト型攻撃に関して取材を重ねた結果、このように考えるに至った。
脆弱性がなくても被害
リスト型攻撃とは、別のWebサイトなどから入手したユーザーIDとパスワードのリストを使って不正ログインを試行する攻撃手法である(図1)。
[画像のクリックで拡大表示]
図1●リスト型攻撃の例
Webサイトの脆弱性を突く従来のサイバー攻撃と大きく異なるのは、脆弱性がなくても被害に遭う恐れがある点だ。加えて、攻撃を防ぐことが難しい点も特徴である。正規ユーザーからのアクセスと、リスト型攻撃のアクセスを区別することが困難なためだ。リスト型攻撃で送られてくるデータはユーザーIDとパスワードであり、通常のログイン要求と寸分たがわない。
そこで、ログイン要求の「量」で攻撃を検出する方法が採られている。リスト型攻撃では、攻撃対象のサイトに対して大量のログイン試行を行う。サイトによっては、攻撃者によるログインが100万回以上試行された。このため、特定のIPアドレスから大量のログイン要求が短時間で送られてきたら、リスト型攻撃の可能性が高いと判断できる。
