
ターゲットはパスワードを使い回しているユーザー
近年、会員サービスとともに広がるリスト型アカウントハッキング攻撃。その意味や仕組みはどのようなものでしょうか?実際の被害事例とともに解説します。
リスト型アカウントハッキング攻撃はパスワードの使いまわしを狙う
リスト型アカウントハッキング攻撃は、リスト攻撃・リスト型攻撃・パスワードリスト攻撃・アカウントリスト攻撃などとも呼ばれるサイバー攻撃の一種です。
インターネットが普及する昨今では、SNS・ブログサービス・動画共有サービス・企業サイトなど、一人が複数のWebサービスに会員登録することは珍しくなくなりました。IDやパスワード管理の煩わしさを軽減するために、どのWebサービスにも同じIDやパスワードを使い回しているユーザーは少なくありません。リスト型アカウントハッキング攻撃は、そういったユーザーをターゲットにしています。
リスト型アカウントハッキング攻撃の仕組み
攻撃者は、あるWebサービスから流出もしくは不正に入手したユーザーのアカウントリストをもとに、ほかのWebサービスに対し不正なログインを試みます。そしてログインに成功すると、そのアカウントユーザーになりすましたり個人情報を窃盗し悪用したり、さまざまな攻撃を仕掛けてきます。
リスト型アカウントハッキング攻撃の被害事例
被害事例としては、別のWebサービスで入手したアカウント情報をもとに、TwitterやFacebookなどに不正ログインするなりすましが多発しています。アカウントのユーザーになりすまし、海外の有名ブランド雑貨などの激安ショップに誘導する投稿が繰り返されるなどの事例が少なくありません。
以前から、不正な連携アプリによるスパム投稿の被害は報告されていました。しかし、リスト型アカウントハッキング攻撃の場合は、不正アプリをダウンロードさせる必要もないため、アカウントを乗っ取られたユーザーも対処法がわからず被害が拡大するケースが増えています。
リスト型アカウントハッキング攻撃の防御対策とは
ここまで、リスト型アカウントハッキング攻撃の概要や被害事例について解説してきました。次に具体的な対策についてみていきます。

対策(1)パスワードの使い回しをしないよう告知を徹底する
パスワードの使い回しは、さまざまな攻撃を受ける可能性や個人情報の漏えいにつながる危険な行為であることを、登録時にユーザーに告知します。また、パスワードの有効期限を設定し、一定期間を過ぎたら強制的にパスワードの変更をしてもらうのも効果的です。
対策(2)休眠アカウントを廃止する
アカウント登録をしたものの、すでに利用しなくなったユーザーのアカウントに不正ログインをされてしまうと、ユーザーは当然気づかないため対応が遅れてしまいます。1年以上ログインがない場合は、アカウントを廃止するなどのルールを決めることで、被害の拡大を防ぎます。
対策(3)普段と違うIPアドレスからのログインにはメールで確認する
攻撃者はWebサービスに対し何十、何百万回と不正なログインを試みます。ただし、一人のアカウントに対してのログイン試行は1〜2回のため、それが不正ログインであるのか正規のユーザーによるログインであるのか、判断が難しいことが多くあります。
これに対応するには、普段ユーザーがログインするIPアドレスとは違うIPアドレスからログインがあった場合、メールでそのユーザーに違うIPアドレスからログインがあったことを知らせることが効果的です。ユーザーがそれに気づき、すぐにパスワードを変更すれば被害は最小限に抑えられます。
対策(4)ワンタイムパスワードを使いログインを二重認証に変更する
ユーザーが作成したパスワードのほかに、Webサービスの提供事業者側でワンタイムパスワードを発行し、ログインを二重認証に変更します。これにより、IDとパスワードが盗まれたとしても、不正ログインを防げます。
トークンなどのハードウェアがなくとも、ワンタイムパスワードを発行できるサービスも増えているので、それほどユーザーに負担をかけることなく攻撃の防御が可能です。
以下の記事では、アカウントハッキング攻撃対策となるワンタイムパスワードについて解説しています。具体的な製品情報が知りたいという方は参考にしてください。
リスト型攻撃の特徴と対策を知り攻撃を予防しよう!
リスト型アカウントハッキング攻撃の最大の防御対策は、ユーザーがパスワードの使い回しをしないことです。しかし、すべてのユーザーがそれをリスクであると考え、違うパスワードを登録するとは限りません。Webサービス提供事業者は、極力ユーザーに負担をかけることなくユーザーの安全を守るため、サービスの規模や予算に応じて上記の防御対策を検討ください。
なお、最新のワンタイムパスワード製品については、こちらから資料請求が可能です。興味のある方はぜひお申し込みください。
