こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。

近年のサイバー攻撃は巧妙化しつつあります。攻撃の手口も多様になり、攻撃者はさまざまな方法で情報資産を悪用しようとするようになりました。
パスワードリスト攻撃もその代表的な方法のひとつ。この攻撃には、複数のサイトやシステムで情報漏えいが発生する恐れがあります。

では、この攻撃による被害を防ぐには、どのような対策を取ればよいのでしょうか。

今回はパスワードリスト攻撃の原因や対策について詳しく解説します。

「パスワードのコピペが面倒」「危険とは分かりつつも、単純なパスワードを使い回している」
そんな方向けに、パスワード管理・入力・生成が1クリックで行えて、セキュリティ向上も見込める
『パスワード管理ツール14選|比較表』をプレゼント中!【資料をメールで受け取る

パスワードリスト攻撃とは

パスワードリスト攻撃とは、次のようなサイバー攻撃の方法を指します。

パスワードリスト攻撃

システムユーザーのIDおよびパスワードのリストを手に入れた悪意のある第三者が、それを用いユーザー本人になりすましてシステムに不正ログインし、情報を盗む攻撃手法。
アカウントリスト攻撃、リスト型アカウントハッキングとも呼ばれる。

この手法で使われるID・パスワードのリストは、ターゲットとなったシステムから漏えいしたものとは限りません。他システムから流出したり盗んだりしたリストを用いた攻撃も多く確認されています。

またこの攻撃では、攻撃者が正規のログイン方法で他人のアカウントに入り込むことから、管理者による不正アクセスの発見が遅れ、対応が後手になりやすいです。
実際に被害は多く発生しており、これを防ぐためには、ユーザーと管理者の両方がパスワードやログインの厳重な管理を徹底する必要があります。

パスワードリスト攻撃による被害が発生する原因

この攻撃によって被害が発生し、それが拡大してしまう原因としては、次の2点が考えられます。

  • 不正ログインを見分けられない
  • パスワードの使い回し

各原因について詳しく見ていきましょう。

不正ログインを見分けられない

前述の通り、パスワードリスト攻撃では、攻撃者によるログインを見分けることができません。攻撃者は、不正に手に入れたリストを用い、正規の方法でログインを行うため、ユーザー本人のログインと攻撃者によるログインとで見分けがつかないのです。
他の攻撃であれば、どうしてもログインを試みる回数が多くなるため、セキュリティシステムや管理者が攻撃に気づく可能性は高くなりますが、パスワードリスト攻撃ではこうはいきません。

そのため、発見が遅れて被害が発生・拡大しやすい点は、この攻撃の恐ろしい特徴だと言えるでしょう。

パスワードの使い回し

パスワードの使い回しも、攻撃の被害を発生・拡大させてしまう原因のひとつです。

現代社会では、複数のインターネットシステムやサービスを利用している人が多いでしょう。しかし、システム・サービスごとに異なるID・パスワードを管理するのは難しく、同じパスワードを複数システムで使い回してしまう例がよく見受けられます。

パスワードリスト攻撃の被害は、パスワードの使い回しにより拡大する恐れがあります。ID・パスワードのリストを手に入れた攻撃者が、使い回しを想定して、複数のシステムにログインを試みるためです。
こうして複数のシステムへの不正ログインが行われれば、ユーザーはあらゆる情報資産を盗まれ、被害は大きくなってしまいます。

安全なパスワードの管理・入力・生成が自動で行えて、同時にセキュリティの向上も見込める
『パスワード管理ツール14選|比較表』をプレゼント中!【資料をメールで受け取る

パスワードリスト攻撃の被害事例

パスワードリスト攻撃の被害は、日本国内でも多数発生しています。ここではその被害事例を2つご紹介します。

事例1:ユニクロ・ジーユーオンラインストアからの情報漏えい

2019年5月、株式会社ファーストリテイリングが運営するユニクロ・ジーユーオンラインストアがパスワードリスト攻撃の被害に遭いました。
会員登録数の多いサイトであることもあり、46万件ものアカウントが個人情報流出の被害に遭ったと見られています。

対象の情報は、会員の氏名や住所、メールアドレス、クレジットカード情報など。
直接的な二次被害は確認されていないものの、多くの情報が攻撃者に渡った可能性があります。

事例2:ドコモオンラインストアでの不正購入

2018年8月、株式会社NTTドコモが運営するドコモオンラインストアがパスワードリスト攻撃の被害に遭いました。
このケースでは、1,000件ものアカウントが攻撃者からの侵入に遭い、情報を盗まれるだけでなく、iPhone端末を不正購入され被害を受けました。これは、ID・パスワードによるログインだけで買い物の決済ができるサイトシステムを悪用したものです。

またこの被害は、ユーザーからの問い合わせによって発覚しました。企業側がこの大規模な侵入を検知できず発覚が遅れたことも、被害拡大に繋がっています。

アカウントのセキュリティ向上、パスワード管理の効率化ならパスワード管理ツールがおすすめ!
『パスワード管理ツール14選|比較表』をプレゼント中【資料を見てみる

パスワードリスト攻撃の対策

パスワードリスト攻撃の被害を抑制するには、ユーザーとサービスを提供・管理する企業側の両方が対策を講じなくてはなりません。
ここからは、ユーザー側と企業側に分け、行うべき対策を順に確認していきましょう。

ユーザー側の対策

ユーザー側の対策では、「インターネットシステム・サービスのパスワードをどのように管理するか」がポイントになります。
具体的には、次のような管理方法が考えられます。

  • 紙のメモで管理する
  • パスワード付き電子ファイルで管理する
  • 専用のパスワード管理ツールを活用する

各方法について見ていきましょう。

紙のメモで管理する

紙のメモでパスワードを管理するメリットは、インターネット経由での漏えいのリスクがないことにあります。紙での管理であれば、デバイス内での管理と比べ、パスワードの漏えい・拡大はしにくいでしょう。
ただし、メモの仕方と管理には注意しなければなりません。万が一、メモが紛失・盗難の被害に遭っても第三者が解読できないよう、自身にだけわかるルールで暗号化しておくことをおすすめします。

パスワード付き電子ファイルで管理する

パスワード付きの電子ファイルを利用するのも、安全な管理方法のひとつ。
この方法では一般的なテキストソフトや表計算ソフトを利用しますが、必ずパスワードをかけるようにしましょう。この作業を忘れると、パスワード漏えいのリスクは高くなってしまいます。

専用のパスワード管理ツールを活用する

漏えいリスクに備えるには、パスワード管理の専用ツールを活用するのも有効です。このツールでは、各システムのIDやパスワードを一元管理し、強固に守ることができます。

また、シングルサインオンツールを用い、利用している複数のシステムを連携させて、管理すべきID・パスワードをひとつにまとめてしまうというのも一つの手でしょう。

これらの専用ツールの利用にはコストがかかりますが、効率的な情報管理と強固なセキュリティを実現できるため、導入を検討しても良いでしょう。

『パスワード管理ツール14選|比較表』をプレゼント中!【資料を今すぐ見てみる

企業側の対策

インターネットサービスを提供する企業側には、ユーザー本人が不正ログインに気づく機能および抑止する機能の提供が求められます。
具体的な機能を挙げてみましょう。

  • ユーザーへのログイン通知
  • ログイン履歴の表示
  • 二段階・二要素認証の実施
  • WAFの導入

各対策についてご説明します。

ユーザーへのログイン通知

ログイン通知とは、システム・サービスへのログインがあった時に、ユーザー本人に通知が行われる機能です。この機能があれば、ユーザーは自身以外の人によるログインに早期に気づき、被害を食い止めることができます。

ログイン履歴の表示

システム・サービスのマイページなどでのログイン履歴の表示も、パスワードリスト攻撃の被害抑止に役立ちます。ユーザーがログイン履歴を確認することで、不正なログインに気づけるためです。
ただし、この機能で被害を食い止めるには、ユーザーによる定期的な履歴確認が必要になります。

二段階・二要素認証の実施

アカウントをより強固に守るためには、二段階認証および二要素認証の実施も検討しましょう。
これらの認証方法では、ID・パスワードでの認証に加え、ワンタイムパスワードや生体認証、デバイスなどによる認証を行います。攻撃者は、手に入れたID・パスワードだけでシステムにログインすることはできません。
そのため、この方法はパスワードリスト攻撃を未然に防ぐ対策として有効です。

WAFの導入

WAFとは、アプリケーションの脆弱性を突いた攻撃からWebサイトを守るファイアウォールのこと。WAFでは、攻撃用ツールによる同一IPアドレスからの大量ログインに対し、強制的にログインを失敗させることが可能です。

運営するWebサイトのネットワーク上にWAFを導入すれば、攻撃者による大量のパスワードリスト攻撃の成功を抑止することができるでしょう。

まとめ

パスワードリスト攻撃は、いつ誰をターゲットにして行われるかわかりません。
情報漏えいの被害は日常的に発生しています。今この瞬間にも自身のIDやパスワードが攻撃者の手に渡り、不正ログインが行われているかもしれないのです。

このリスクを抑制するためには、ユーザーがIDやパスワードを適切に管理すること、サービス提供企業側が通知・認証機能を強化することが必要です。また、ユーザー自身がセキュリティ面をよく確認した上で、利用するサービスを選定することも大切でしょう。

【無料特典】パスワード管理ツール14選比較表を配布中!

「複雑なパスワードの方が良いのは分かってるけど、入力も覚えるのも大変…」という方におすすめなのが、「シングルサインオン」というパスワード管理ツール。パスワード管理・入力が1クリックで行えて、セキュリティ向上も見込めます

そんな「シングルサインオン」の主要製品を、無料で始められるものも含めて一覧でわかる比較表にしました!下記フォームの入力で、今すぐご覧いただけます。