リスト型アカウントハッキング攻撃の特性と対策とは

ターゲットはパスワードを使い回しているユーザー

近年、会員サービスとともに広がるリスト型アカウントハッキング攻撃。その意味や仕組みはどのようなものでしょうか？実際の被害事例とともに解説していきます。

リスト型アカウントハッキング攻撃はパスワードの使いまわしを狙う

リスト型アカウントハッキング攻撃は、リスト攻撃、リスト型攻撃、パスワードリスト攻撃、アカウントリスト攻撃などとも呼ばれるサイバー攻撃の一種です。

SNS、ブログサービス、動画共有サービス、企業サイトなど複数のWebサービスに登録することが珍しくなくなった今、IDやパスワード管理の煩わしさを軽減するために、どのWebサービスにも同じID、パスワードを使い回しているユーザーは少なくありません。リスト型アカウントハッキング攻撃はそういったユーザーをターゲットにしています。

リスト型アカウントハッキング攻撃の仕組み

攻撃者はあるWebサービスから流出もしくは不正に入手したユーザーのアカウントリストを基に他のWebサービスに対し不正なログインを試みます。そしてログインに成功すると、そのアカウントユーザーになりすましたり、個人情報を窃盗し悪用するといった攻撃を仕掛けてきます。

リスト型アカウントハッキング攻撃の被害事例

被害事例としては、別のWebサービスで入手したアカウント情報でTwitterやFacebookなどに不正ログインをし、その後、そのユーザーになりすまし海外の有名ブランド雑貨などの激安ショップに誘導する投稿が2014年辺りから頻繁に起こっています。

以前から不正な連携アプリによるスパム投稿はありましたが、リスト型アカウントハッキング攻撃の場合は不正アプリをダウンロードさせる必要もないため、アカウントを乗っ取られたユーザーも対処法が分らず被害が拡大するケースが増えています。

リスト型アカウントハッキング攻撃の防御対策とは

ここまでリスト型アカウントハッキング攻撃の概要や被害事例について解説してきました。次に具体的な対策についてみていきます。

対策（１）パスワードの使い回しをしないよう告知を徹底する

パスワードの使い回しはさまざまな攻撃を受けたり個人情報の漏えいにつながる危険な行為であることを、登録時にユーザーに告知します。またパスワードの有効期限を設定し、一定期間を過ぎたら強制的にパスワードの変更をしてもらうのも効果的です。

対策（２）休眠アカウントの廃止

アカウント登録をしたものの既に利用しなくなってしまったユーザーのアカウントに不正ログインをされてしまうと、ユーザーは当然気づきませんので対応が遅れてしまいます。1年以上ログインがない場合はアカウントを廃止するなどのようなルールを決めることで、被害の拡大を防ぎます。

対策（３）普段と違うIPアドレスからのログインにはメールで確認する

攻撃者はWebサービスに対し何十、何百万回と不正なログインを試みます。ただし一人のアカウントに対してのログイン試行は1〜2回のため、それが不正ログインであるのか正規のユーザーによるログインであるのか、判断が難しいことが多くあります。

これに対応するには普段、ユーザーがログインするIPアドレスとは違うIPアドレスからログインがあった場合、メールでそのユーザーに違うIPアドレスからログインがあったことを知らせることが効果的です。ユーザーがそれに気づきすぐにパスワードを変更すれば被害は最小限に抑えることができます。

対策（３）ワンタイムパスワードを使いログインを二重認証に変更する

ユーザーが作成したパスワードの他にWebサービスの提供事業者側でワンタイムパスワードを発行し、ログインを二重認証に変更します。これによりIDとパスワードが窃盗されたとしても不正ログインを防ぐことができます。

トークンなどのハードウェアがなくともワンタイムパスワードを発行できるサービスも増えていますので、それほどユーザーに負担をかけることなく攻撃の防御が可能です。

また以下の記事ではアカウントハッキング攻撃対策となるワンタイムパスワードについて解説しています。二段階認証を知りたい、セキュリティを強化したいという方は参考にしてください。

▼あわせて読みたい！
参考記事：ワンタイムパスワードが持つ3つのメリット

リスト型攻撃の特徴と対策を知り攻撃を予防しよう！

リスト型アカウントハッキング攻撃の最大の防御対策はユーザーがパスワードの使い回しをしないことです。しかしすべてのユーザーがそれをリスクであると考え、違うパスワードを登録するとは限りません。Webサービス提供事業者は極力ユーザーに負担をかけることなくユーザーの安全を守るため、サービスの規模や予算に応じて上記の防御対策をご検討ください。