リスト型アカウントハッキング攻撃の特性と対策とは

IT製品の比較サイト
ITトレンド編集部

複数のWebサービスの登録に、同じIDやパスワードを使い回しているユーザーをターゲットとしたリスト型アカウントハッキング攻撃。あるWebサービスから流出もしくは不正に入手したID・パスワードのリストを使い、ほかのWebサービスに対して不正ログインを試み、成功するとそのアカウントの乗っ取りや個人情報の窃盗などを行います。今回はこのリスト型アカウントハッキング攻撃の特性と、防御対策を紹介します。

＼無料で資料を手に入れる！／

ワンタイムパスワードの製品をまとめて資料請求！

play_circle_outline

ワンタイムパスワード人気ランキング | 今週のランキング第1位は？

ターゲットはパスワードを使い回しているユーザー

近年、会員サービスとともに広がるリスト型アカウントハッキング攻撃。その意味や仕組みはどのようなものでしょうか？実際の被害事例とともに解説します。

リスト型アカウントハッキング攻撃はパスワードの使いまわしを狙う

リスト型アカウントハッキング攻撃は、リスト攻撃・リスト型攻撃・パスワードリスト攻撃・アカウントリスト攻撃などとも呼ばれるサイバー攻撃の一種です。

インターネットが普及する昨今では、SNS・ブログサービス・動画共有サービス・企業サイトなど、一人が複数のWebサービスに会員登録することは珍しくなくなりました。IDやパスワード管理の煩わしさを軽減するために、どのWebサービスにも同じIDやパスワードを使い回しているユーザーは少なくありません。リスト型アカウントハッキング攻撃は、そういったユーザーをターゲットにしています。

リスト型アカウントハッキング攻撃の仕組み

攻撃者は、あるWebサービスから流出もしくは不正に入手したユーザーのアカウントリストをもとに、ほかのWebサービスに対し不正なログインを試みます。そしてログインに成功すると、そのアカウントユーザーになりすましたり個人情報を窃盗し悪用したり、さまざまな攻撃を仕掛けてきます。

リスト型アカウントハッキング攻撃の被害事例

被害事例としては、別のWebサービスで入手したアカウント情報をもとに、TwitterやFacebookなどに不正ログインするなりすましが多発しています。アカウントのユーザーになりすまし、海外の有名ブランド雑貨などの激安ショップに誘導する投稿が繰り返されるなどの事例が少なくありません。

以前から、不正な連携アプリによるスパム投稿の被害は報告されていました。しかし、リスト型アカウントハッキング攻撃の場合は、不正アプリをダウンロードさせる必要もないため、アカウントを乗っ取られたユーザーも対処法がわからず被害が拡大するケースが増えています。

リスト型アカウントハッキング攻撃の防御対策とは

ここまで、リスト型アカウントハッキング攻撃の概要や被害事例について解説してきました。次に具体的な対策についてみていきます。

対策（１）パスワードの使い回しをしないよう告知を徹底する

パスワードの使い回しは、さまざまな攻撃を受ける可能性や個人情報の漏えいにつながる危険な行為であることを、登録時にユーザーに告知します。また、パスワードの有効期限を設定し、一定期間を過ぎたら強制的にパスワードの変更をしてもらうのも効果的です。

対策（２）休眠アカウントを廃止する

アカウント登録をしたものの、すでに利用しなくなったユーザーのアカウントに不正ログインをされてしまうと、ユーザーは当然気づかないため対応が遅れてしまいます。１年以上ログインがない場合は、アカウントを廃止するなどのルールを決めることで、被害の拡大を防ぎます。

対策（３）普段と違うIPアドレスからのログインにはメールで確認する

攻撃者はWebサービスに対し何十、何百万回と不正なログインを試みます。ただし、一人のアカウントに対してのログイン試行は１〜２回のため、それが不正ログインであるのか正規のユーザーによるログインであるのか、判断が難しいことが多くあります。

これに対応するには、普段ユーザーがログインするIPアドレスとは違うIPアドレスからログインがあった場合、メールでそのユーザーに違うIPアドレスからログインがあったことを知らせることが効果的です。ユーザーがそれに気づき、すぐにパスワードを変更すれば被害は最小限に抑えられます。

対策（４）ワンタイムパスワードを使いログインを二重認証に変更する

ユーザーが作成したパスワードのほかに、Webサービスの提供事業者側でワンタイムパスワードを発行し、ログインを二重認証に変更します。これにより、IDとパスワードが盗まれたとしても、不正ログインを防げます。

トークンなどのハードウェアがなくとも、ワンタイムパスワードを発行できるサービスも増えているので、それほどユーザーに負担をかけることなく攻撃の防御が可能です。

以下の記事では、アカウントハッキング攻撃対策となるワンタイムパスワードについて解説しています。具体的な製品情報が知りたいという方は参考にしてください。

2023.08.01

【2023年版】おすすめのワンタイムパスワード11選を比較！

続きを読む ≫

リスト型攻撃の特徴と対策を知り攻撃を予防しよう！

リスト型アカウントハッキング攻撃の最大の防御対策は、ユーザーがパスワードの使い回しをしないことです。しかし、すべてのユーザーがそれをリスクであると考え、違うパスワードを登録するとは限りません。Webサービス提供事業者は、極力ユーザーに負担をかけることなくユーザーの安全を守るため、サービスの規模や予算に応じて上記の防御対策を検討ください。

なお、最新のワンタイムパスワード製品については、こちらから資料請求が可能です。興味のある方はぜひお申し込みください。

＼無料で資料を手に入れる！／

ワンタイムパスワードの製品をまとめて資料請求！

play_circle_outline

ワンタイムパスワード人気ランキング | 今週のランキング第1位は？

ワンタイムパスワード選び方ガイド

製品を選ぶときのポイントがわかる！

どんな企業が導入すべきかがわかる！

選び方ガイドのダウンロードはこちら

ITトレンドはイノベーションが2007年より運営している法人向けIT製品の比較・資料請求サイトです。累計訪問者数2,000万人以上、1,300製品以上を掲載しています。ITトレンド編集部では、読者がIT製品・サービスを比較検討する際に役立つ情報や、システムを活用した社内の課題解決のヒントになる情報を記事にして日々発信しています。

このカテゴリーに関連する記事

ワンタイムパスワードの使い方とは？活用事例も詳しく解説

二要素認証とは？ワンタイムパスワードなどを使った事例も紹介

【2023年版】おすすめのワンタイムパスワード11選を比較！

トークンとは？概要やワンタイムパスワードについてわかりやすく解説

ワンタイムパスワードの認証方式とは？仕組みや特徴を徹底解説

パスワードクラックとは？攻撃の種類や防御対策も解説！

ワンタイムパスワードのデメリットと対策！製品の選び方も紹介

２段階認証で使われるワンタイムパスワードの発行方法・注意点

ワンタイムパスワードのマトリクス認証とは？対応製品も紹介！

ワンタイムパスワードが持つ3つのメリットとは？

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「リスト型アカウントハッキング攻撃の特性と対策とは」というテーマについて解説しています。ワンタイムパスワードの製品導入を検討をしている企業様は、ぜひ参考にしてください。

カテゴリー資料請求ランキング

12月4日(月) 更新
	多要素認証システムAuthWay 株式会社アイピーキューブ
	ワンタイムパスワード認証サービスSafeNet Trusted Access タレスDISジャパン株式会社
	Swivel認証ソリューションプロフェッショナル･ネットワーク･コンサルティング株式会社
4位以下のランキングはこちら