パスワードリスト攻撃とは
パスワードリスト攻撃とは、第三者がで何らかの方法で手に入れたID・パスワードのリストを使い、Webサイトへ不正アクセスを行う攻撃のことです。
ユーザーは共通したID・パスワードを他のサイトでも使用していることが多い傾向があります。この傾向を利用し、他のサイトで入手したパスワードリストを利用し、アクセスを試みる攻撃がパスワードリスト攻撃であり、通常のログインとの判別が難しいのが特徴です。
一方で、SQLインジェクションやクロスサイトスクリプティングといった攻撃は、Webアプリケーションの脆弱性につけこんだものであり、性質が異なります。以下の記事を参考にして、その違いについての理解を深めてみてください。
パスワードリスト攻撃のケーススタディ
ここでは、パスワードリスト攻撃の被害についてケーススタディを交え解説します。
大手ポイントサイトのケース
大手ポイントWebサイトに、不正ログインが発覚した場合の想定事例を考えてみましょう。不正ログインが行われて、その会社で運営しているHPの会員になりすました第三者が、正規会員のポイントをWeb上で使用できるギフト券に交換するといったトラブルが考えられます。
この場合、不正アクセスされた会社は、すべての会員に対して、パスワード変更を依頼するなどの対応に追われる可能性があります。
ECサイトのケース
また、ECサイトには会員のクレジットカード情報などがあるため、不正アクセスを受けることによりクレジットカードが不正に利用されたり、不要な物品を無断で購入されたりといった被害が予想されます。会員の金銭的な被害は出ないとしても、サービスの停止に追い込まれ、会員へのパスワード変更を依頼する事態に発展する危険があるでしょう。
パスワードリスト攻撃対策としてのWAF
WAFには、このようなパスワードリスト攻撃の対策機能があります。これにより、上記のような被害が起こるリスクを軽減することができます。
まずはユーザーにパスワード変更を推進する
パスワードリスト攻撃を防ぐ最も簡単な方法が、ユーザーに、他のサイトで使っているIDとパスワードを使わせないということです。現在他のサイトで使っているID・パスワードを自社サイトでも転用しているユーザーに対しては、パスワードリスト攻撃の脅威を警告し、変更を促しましょう。
WAFを導入し、同じIPアドレスからのアクセスを検知する
パスワードリスト攻撃を行う攻撃者は、効率の点から手入力でのログインでなく、攻撃用のツールを使った連続ログインを試みます。そこで、同じIPアドレス(端末)から連続して異なるアカウントでの大量ログインを検知した際、ID・パスワードが実際に存在するか否かに関わらず強制的にログイン失敗画面に遷移させるという方法が有効でしょう。
WAFではこのようなログインの自動化を防ぐ機能がありますので、ツールによる攻撃を防ぐことが可能です。
最近では、「私はロボットではありません」というような確認項目が追加されているサイトも増えてきており、パスワードリスト攻撃への対策が進んでいます。
以下の記事ではWAFについて解説し、実際の製品例まで紹介していますので、参考にしてみてください。
WAFを利用してパスワードリスト攻撃を防ごう!
WAFによってパスワードリスト攻撃の対策ができることを紹介してきました。WAFはパスワードリスト攻撃だけでなく、その他にも多くの攻撃からWebアプリケーションを守るセキュリティシステムです。しかし、ただ導入するだけではその効果は得られません。
まずは資料請求を行い自社にあったWAFを選定した上で万全のセキュリティ体制を作っていきましょう。
