リスト型アカウントハッキング攻撃の特性と防御策

ターゲットはパスワードを使い回しているユーザー

リスト型アカウントハッキング攻撃は、リスト攻撃、リスト型攻撃、パスワードリスト攻撃、アカウントリスト攻撃などとも呼ばれるサイバー攻撃の一種です。SNS、ブログサービス、動画共有サービス、企業サイトなど複数のWebサービスに登録することが珍しくなくなった今、IDやパスワード管理の煩わしさを軽減するために、どのWebサービスにも同じID、パスワードを使い回しているユーザーは少なくありません。リスト型アカウントハッキング攻撃はそういったユーザーをターゲットにしています。

攻撃者はあるWebサービスから流出もしくは不正に入手したユーザーのアカウントリストを基に他のWebサービスに対し不正なログインを試みます。そしてログインに成功すると、そのアカウントユーザーになりすましたり、個人情報を窃盗し悪用するといった攻撃を仕掛けてきます。

被害事例としては、別のWebサービスで入手したアカウント情報でTwitterやFacebookなどに不正ログインをし、その後、そのユーザーになりすまし海外の有名ブランド雑貨などの激安ショップに誘導する投稿が2014年辺りから頻繁に起こっています。以前から不正な連携アプリによるスパム投稿はありましたが、リスト型アカウントハッキング攻撃の場合は不正アプリをダウンロードさせる必要もないため、アカウントを乗っ取られたユーザーも対処法が分らず被害が拡大するケースが増えています。

リスト型アカウントハッキング攻撃の防御対策

■パスワードの使い回しをしないよう告知を徹底する

パスワードの使い回しはさまざまな攻撃を受けたり個人情報の漏えいにつながる危険な行為であることを、登録時にユーザーに告知します。またパスワードの有効期限を設定し、一定期間を過ぎたら強制的にパスワードの変更をしてもらうのも効果的です。

■休眠アカウントの廃止

アカウント登録をしたものの既に利用しなくなってしまったユーザーのアカウントに不正ログインをされてしまうと、ユーザーは当然気づきませんので対応が遅れてしまいます。1年以上ログインがない場合はアカウントを廃止するなどのようなルールを決めることで、被害の拡大を防ぎます。

■普段と違うIPアドレスからのログインにはメールで確認する

攻撃者はWebサービスに対し何十、何百万回と不正なログインを試みます。ただし一人のアカウントに対してのログイン試行は1〜2回のため、それが不正ログインであるのか正規のユーザーによるログインであるのか、判断が難しいことが多くあります。

これに対応するには普段、ユーザーがログインするIPアドレスとは違うIPアドレスからログインがあった場合、メールでそのユーザーに違うIPアドレスからログインがあったことをメールで知らせるのが効果的です。ユーザーがそれに気づきすぐにパスワードを変更すれば被害は最小限に抑えることができます。

■ワンタイムパスワードを使いログインを二重認証に変更する

ユーザーが作成したパスワードの他にWebサービスの提供事業者側でワンタイムパスワードを発行し、ログインを二重認証に変更します。これによりIDとパスワードが窃盗されたとしても不正ログインを防ぐことができます。トークンなどのハードウェアがなくともワンタイムパスワードを発行できるサービスも増えていますので、それほどユーザーに負担をかけることなく攻撃の防御が可能です。

リスト型アカウントハッキング攻撃の最大の防御対策はユーザーがパスワードの使い回しをしないことです。しかしすべてのユーザーがそれをリスクであると考え、違うパスワードを登録するとは限りません。Webサービス提供事業者は極力ユーザーに負担をかけることなくユーザーの安全を守るため、サービスの規模や予算に応じて上記の防御対策をご検討ください。