パスワードリスト攻撃
パスワードリスト攻撃とは
パスワードリスト攻撃とは、サイバー攻撃手法の一種です。攻撃者があらかじめ何らかの方法で入手した、サービスやシステムのIDとパスワードをリスト化したデータを利用し、不正に企業や組織のWebサイトへの不正アクセスを試みるという攻撃方法です。
「アカウント リスト攻撃」あるいは「リスト型アカウント ハッキング」と呼ばれることもあります。
攻撃者はパスワードリスト攻撃を実行するために必要なID・パスワードリストを、セキュリティの脆弱なサイト等から入手します。
例えば、あるECサイトで持ち合わせたIDとパスワードでWebサイトにログインすれば、個人情報を盗み取ることが可能になります。クレジットカード番号やパスワードが登録されていれば、それを活用し、不正利用も可能です。不正にIDとパスワードを利用されたユーザーは、は不正送金やポイントの不正利用などの被害を受けることになります。
パスワードリスト攻撃の原因とは
パスワードリスト攻撃の被害を受けてしまう主な原因をご紹介します。
○ユーザーのID・パスワードの使いまわし
インターネットを利用するユーザーの大半が、複数のサイトで共通したID・パスワードを用いる傾向があります。複数のサイトで同じアカウント情報を使いまわしていると、攻撃者はその利用者の複数のサービスのアカウントを乗っ取り、個人情報を搾取したり、不正送金をしたりしやすくなってしまいます。
○フィッシングによるパスワードリストの漏えい
攻撃者がパスワードリストを入手する手段の一つに、フィッシングが挙げられます。フィッシングは、メールやSNSなどで正規の企業や組織を偽ってフィッシングサイトと呼ばれる偽装サイトへ誘導し、IDやパスワードなどを入力させる詐欺のことをいいます。こうしたフィッシングを通じて仕入れたID・パスワードのリストをパスワードリスト攻撃に利用している可能性があります。そのため、フィッシング被害も原因の一つと考えられます。
ブルートフォース攻撃・辞書攻撃・パスワードスプレー攻撃との違い
パスワードリスト攻撃とよく混同されるサイバー攻撃に「ブルートフォース(総当たり)攻撃」や「辞書攻撃(ディクショナリアタック)」、「パスワードスプレー攻撃」などがあります。それぞれどのようなサイバー攻撃なのか解説します。
○「ブルートフォース(総当たり)攻撃」
例えば、IDは判明しているものの、パスワードが不明であるといった場合、攻撃者はパスワードを推測してログインを試みることになります。ブルートフォース(総当たり)攻撃は、パスワードに使われると推測される文字列すべてを総当たり式に当てはめて、ログインを試みる方法です。
例えば、4桁のパスワードであれば、アルファベット、数字、記号、大文字・小文字といったすべての考えられるパターンを総当たりで入力していくことで、該当のパスワードを見つけます。
○「辞書攻撃(ディクショナリアタック)」
辞書攻撃(ディクショナリアタック)は、主にパスワードを不正に入手するために用いられます。パスワードに使用されることの多い単語や人名を組み合わせ、繰り返しログインを試行する方法です。ブルートフォース攻撃と比較して、辞書攻撃は、限られた文字列を使用するため、比較的短時間でパスワードを見つけ出せるという特徴があります。
ブルートフォース攻撃も辞書攻撃も、人間が行うと膨大な時間がかかるため、ロボットに実施させます。ブルートフォース攻撃は特に「総当たり」であるため、ログイン試行回数が多くなり、不正アクセスの検出は比較的容易です。
一方、パスワードリスト攻撃は、これらの攻撃手法と比較して、同一IDでのログイン試行回数が極めて少ないため、Webサイト側での検知が難しい攻撃と言えます。
○「パスワードスプレー攻撃」
パスワードスプレー攻撃は、ブルートフォース攻撃の一種です。しかし、ブルートフォース攻撃よりも検知が難しいといわれています。パスワードスプレー攻撃は、複数のアカウントに対して同一パスワードを使って、同時にログイン試行する方法です。なぜこのようなことをするのかというと、現在、多くのログインシステムは、パスワードが間違っていると、3回目などでアカウントロックがかかる仕組みになっているからです。ですからパスワードを手当たり次第試してログイン試行は回数が限られています。
そこで3回連続ログインが失敗するとロックするシステムであれば、最大で3回連続、パスワードを変更しながら、複数のアカウントに同時にログイン試行できます。もし失敗したら、他のアカウントグループに移って同じように3回連続試します。これにより、不正検知を免れようとします。
パスワードスプレー攻撃は、パスワードリスト攻撃と同様、検知しにくい巧妙な手法といえます。
パスワードリスト攻撃の被害事例
パスワードリスト攻撃の被害事例としては、以下が挙げられます。
・QRコード決済サービスの事例
2019年7月、セブン&アイ・ホールディングスが取り組んだQRコード決済サービス「7pay」で、不正アクセスによる金銭的な被害が発生し、サービスを廃止せざるを得ないインシデントが発生しました。同社は、パスワードリスト攻撃である可能性高いと見ています。
・預金口座の事例
2020年9月、NTTドコモの「ドコモ口座」を不正利用して他人の預金口座からお金を引き出すという事件がありました。同口座はメールアドレスのみで開設ができることから、なりすましによる口座引き出しが原因とみられています。暗証番号については、攻撃者が何らかの方法でリストを入手したのではないかという説があります。
パスワードリスト攻撃を受けると生じる被害
パスワードリスト攻撃を受けると、企業や個人は次のような被害がもたらされます。
○不正口座引き出し・不正カード利用
不正にログインされたことで銀行口座情報やクレジットカード情報が盗み出された場合、不正に銀行口座から現金を引き出されたり、不正にクレジットカードを利用されたりといった金銭的な被害が個人に及びます。
○個人情報・企業の機密情報漏えい 銀行口座やクレジットカード情報はもちろんのこと、氏名や住所、電話番号なども流出することになるため、個人情報の漏えいとなります。また、ログインされた先がビジネスに活用するドキュメント管理サービスなどであれば、利用している企業の機密情報の漏えいにもなります。
○SNSのなりすましによる投稿やメッセージ送信 SNSアカウントに不正ログインされた場合、なりすましによる投稿やメッセージの送信がされることで、SNSアカウントの本来の持ち主である個人や企業の信用を失うことになります。
○不正ログインされたサービス運営企業は民事・刑事上の責任が発生する
被害に遭ったサービスを運営する企業は、金銭的な被害や情報漏えいなどの被害を顧客もたらすことになるため、管理不足等が問われ、民事・刑事上の責任が発生することがあります。その対処には多額のコストがかかる上に、手間と時間も要します。
○不正ログインされたサービス運営企業は社会的信用が低下する
サービス運営企業は、セキュリティ面で甘いことが知られることになり、社会的に信用が落ちてしまいます。特に不正ログインの被害に遭ったサービス利用者は減少するリスクがあります。
パスワードリスト攻撃の対策
こうした深刻な被害をもたらし得るパスワードリスト攻撃に対して、企業と個人それぞれに対策を講じる必要があります。
○ID・パスワードの使いまわしをしない・させない
最も効果的な対策方法は、複数のWebサービスでID・パスワードの使い回しをしないことと言えます。各個人が気を付けるほか、サービス提供側も使いまわしをしないよう呼び掛けることも必要です。
○WAF導入によるログイン試行状況の監視・対策
Webサイト側の対策として、同一IPアドレスから複数IDへのログイン試行が行われていないか、いつもとは異なる場所(国)からログイン試行が行われていないか等を検知できる仕組み等が求められます。アプリケーション レイヤを防御するWebアプリケーション ファイアウォール(WAF)を利用することで、このような対策が取りやすくなります。
WAFには、同一IPアドレスから連続して異なるIDへの大量ログインを検知した際、強制的にログイン失敗ページに遷移させるという機能もあります。
○二段階認証を導入する
ID・パスワードによる不正ログインがされたとしても、もう一段階、本人でなければログインできない認証を導入しておけば、被害は予防できます。例えば、ワンタイムパスワードを登録のメールアドレスに送信し、その情報を入力させるといった方法があります。
