資料請求リスト
0

リスト型アカウントハッキング攻撃の特性と対策とは

リスト型アカウントハッキング攻撃の特性と対策とは

複数のWebサービスの登録に、同じIDやパスワードを使い回しているユーザーをターゲットとしたリスト型アカウントハッキング攻撃。あるWebサービスから流出もしくは不正に入手したID・パスワードのリストを使い、ほかのWebサービスに対して不正ログインを試み、成功するとそのアカウントの乗っ取りや個人情報の窃盗などを行います。今回はこのリスト型アカウントハッキング攻撃の特性と、防御対策を紹介します。


  ワンタイムパスワード紹介ページ遷移画像

ターゲットはパスワードを使い回しているユーザー

近年、会員サービスとともに広がるリスト型アカウントハッキング攻撃。その意味や仕組みはどのようなものでしょうか?実際の被害事例とともに解説します。

リスト型アカウントハッキング攻撃はパスワードの使いまわしを狙う

リスト型アカウントハッキング攻撃は、リスト攻撃・リスト型攻撃・パスワードリスト攻撃・アカウントリスト攻撃などとも呼ばれるサイバー攻撃の一種です。

インターネットが普及する昨今では、SNS・ブログサービス・動画共有サービス・企業サイトなど、一人が複数のWebサービスに会員登録することは珍しくなくなりました。IDやパスワード管理の煩わしさを軽減するために、どのWebサービスにも同じIDやパスワードを使い回しているユーザーは少なくありません。リスト型アカウントハッキング攻撃は、そういったユーザーをターゲットにしています。

リスト型アカウントハッキング攻撃の仕組み

攻撃者は、あるWebサービスから流出もしくは不正に入手したユーザーのアカウントリストをもとに、ほかのWebサービスに対し不正なログインを試みます。そしてログインに成功すると、そのアカウントユーザーになりすましたり個人情報を窃盗し悪用したり、さまざまな攻撃を仕掛けてきます。

リスト型アカウントハッキング攻撃の被害事例

被害事例としては、別のWebサービスで入手したアカウント情報をもとに、TwitterやFacebookなどに不正ログインするなりすましが多発しています。アカウントのユーザーになりすまし、海外の有名ブランド雑貨などの激安ショップに誘導する投稿が繰り返されるなどの事例が少なくありません。

以前から、不正な連携アプリによるスパム投稿の被害は報告されていました。しかし、リスト型アカウントハッキング攻撃の場合は、不正アプリをダウンロードさせる必要もないため、アカウントを乗っ取られたユーザーも対処法がわからず被害が拡大するケースが増えています。

リスト型アカウントハッキング攻撃の防御対策とは

ここまで、リスト型アカウントハッキング攻撃の概要や被害事例について解説してきました。次に具体的な対策についてみていきます。

リスト型アカウントハッキング攻撃の防御対策

対策(1)パスワードの使い回しをしないよう告知を徹底する

パスワードの使い回しは、さまざまな攻撃を受ける可能性や個人情報の漏えいにつながる危険な行為であることを、登録時にユーザーに告知します。また、パスワードの有効期限を設定し、一定期間を過ぎたら強制的にパスワードの変更をしてもらうのも効果的です。

対策(2)休眠アカウントを廃止する

アカウント登録をしたものの、すでに利用しなくなったユーザーのアカウントに不正ログインをされてしまうと、ユーザーは当然気づかないため対応が遅れてしまいます。1年以上ログインがない場合は、アカウントを廃止するなどのルールを決めることで、被害の拡大を防ぎます。

対策(3)普段と違うIPアドレスからのログインにはメールで確認する

攻撃者はWebサービスに対し何十、何百万回と不正なログインを試みます。ただし、一人のアカウントに対してのログイン試行は1〜2回のため、それが不正ログインであるのか正規のユーザーによるログインであるのか、判断が難しいことが多くあります。

これに対応するには、普段ユーザーがログインするIPアドレスとは違うIPアドレスからログインがあった場合、メールでそのユーザーに違うIPアドレスからログインがあったことを知らせることが効果的です。ユーザーがそれに気づき、すぐにパスワードを変更すれば被害は最小限に抑えられます。

対策(4)ワンタイムパスワードを使いログインを二重認証に変更する

ユーザーが作成したパスワードのほかに、Webサービスの提供事業者側でワンタイムパスワードを発行し、ログインを二重認証に変更します。これにより、IDとパスワードが盗まれたとしても、不正ログインを防げます。

トークンなどのハードウェアがなくとも、ワンタイムパスワードを発行できるサービスも増えているので、それほどユーザーに負担をかけることなく攻撃の防御が可能です。

以下の記事では、アカウントハッキング攻撃対策となるワンタイムパスワードについて解説しています。具体的な製品情報が知りたいという方は参考にしてください。

関連記事 【2025年版】おすすめのワンタイムパスワード3選を比較!

リスト型攻撃の特徴と対策を知り攻撃を予防しよう!

リスト型アカウントハッキング攻撃の最大の防御対策は、ユーザーがパスワードの使い回しをしないことです。しかし、すべてのユーザーがそれをリスクであると考え、違うパスワードを登録するとは限りません。Webサービス提供事業者は、極力ユーザーに負担をかけることなくユーザーの安全を守るため、サービスの規模や予算に応じて上記の防御対策を検討ください。

なお、最新のワンタイムパスワード製品については、こちらから資料請求が可能です。興味のある方はぜひお申し込みください。

ワンタイムパスワード紹介ページ遷移画像
この記事を読んだ人は、こちらも参考にしています

話題のIT製品、実際どうなの?

導入ユーザーのリアルな体験談

電球

IT製品を導入しDXに成功した企業に

直接インタビュー!

電球

営業・マーケ・人事・バックオフィス

様々なカテゴリで絶賛公開中

私たちのDXロゴ
bizplay動画ページリンク
動画一覧を見てみる
IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「リスト型アカウントハッキング攻撃の特性と対策とは」というテーマについて解説しています。ワンタイムパスワードの製品 導入を検討をしている企業様は、ぜひ参考にしてください。
このページの内容をシェアする
facebookに投稿する
Xでtweetする
このエントリーをはてなブックマークに追加する
pocketで後で読む
認知度、利用経験率No.1のITトレンド ワンタイムパスワード年間ランキング
カテゴリー関連製品・サービス
カテゴリー関連製品・サービス
SeciossLink
株式会社セシオス
☆☆☆☆☆
★★★★★
★★★★★
0.0
Secioss Access Manager Enterprise(SAME)
株式会社セシオス
☆☆☆☆☆
★★★★★
★★★★★
0.0
カテゴリー資料請求ランキング
カテゴリー資料請求ランキング
03月31日(月)更新
SeciossLink
株式会社セシオス
ITトレンドへの製品掲載・広告出稿はこちらから
ワンタイムパスワードの製品をまとめて資料請求