システム導入のための意思決定サイト

キーワードで読み解く今どきのセキュリティ

パスワードリスト型攻撃:あなたの使うBtoBサービスも情報を狙われている

2017/12/05 中尾 真二=ITジャーナリスト

  • このエントリーをはてなブックマークに追加

 パスワードリスト型攻撃(リスト攻撃)は、名前の通りパスワードのリストを使ってアカウントへの不正ログインを試みる攻撃だ。リストは通常、IDとパスワードがセットになっている。リストは、攻撃者が不正アクセスなどによってサーバーから盗みだすこともあれば、フィッシングサイトを利用して集めることもある。アンダーグラウンドマーケットで販売されているパスワードリストを購入するケースもある。

調達サイト、モールの店舗向けページが狙われる

 リスト攻撃に利用するパスワードリストは、ターゲットとするサイトのものでなくても、IDやパスワードを使いまわしていればヒット(ログイン成功)することもあるし、ありがちなパスワードが一致することもある。

 このような攻撃は、多数の一般ユーザーを抱えたソーシャルネットワークサービスやECサイトに対して行われることが多い。しかし、業界向けのマッチングサイトや調達サイトもターゲットとして狙われているので、油断は禁物だ。実は、BtoBサービスは、業務用機器、中古車など取引単価が高い製品を扱うので、詐欺犯や犯罪者にとっては恰好の標的だ。会員は中小企業だしユーザー数はそれほど多くないから、と安心してはいけない。

 調達サイトは、事業者向けのECサイトだ。リアル犯罪と同様に、ネット上の取り込み詐欺などが発生する。例えば中古車の取引サイト、原材料の取引サイトに、会員ユーザーとしてログインできれば偽の注文が可能だ。このような不正ログインに、リスト攻撃が使われる場合がある。

 なお、標的型攻撃では、最終的なターゲットに行きつくため、攻撃者は業界内の情報や取引先の情報を事前に集める必要がある。その過程で、中小企業が攻撃されることも珍しくない。

 ECサイトやショッピングモールサイトに出店している企業や店舗も、注意が必要だ。これらのサイトは、出店者向けの管理システムが用意されているはずだ。出店者のアカウントでログインして、キャンペーンを告知したり、商品情報を編集したりできる。このような事業者向けのログイン画面も、リスト攻撃を受けている。

大手サービスは専用攻撃ツールも存在する

 アンダーグラウンドマーケットでは、パスワードリストだけでなく、パスワードリストを利用した専用の攻撃ツールも流通している。会員数が多い巨大ECサイトになると、専用の攻撃ツールも存在している。

1 2 3 次ページへ
次ページ以降は日経 xTECH Active会員(無料)の方のみお読みいただけます。
会員の方は、 ログインしてご覧ください。
まだ会員でない方は、ぜひ登録(無料)してください。

注目コンテンツ