パスワードの使い回しが引き起こす「パスワードリスト攻撃」。2013年ころから本格化し、手口は巧妙化する一方だ。各所の啓発活動は続くが使い回しは無くならない。攻撃が成功することを前提に、パスワードのハッシュ化などで対策しよう。

 今回は「パスワードリスト攻撃(リスト型攻撃)」の対策を解説します。リスト型攻撃は、脆弱なサイトから漏洩したID/パスワードといったアカウント認証情報を悪用し、利用者のアカウントの乗っ取りを狙う攻撃です。

 攻撃者はログインを自動化するツールを使って、様々な会員制Webサイトでログインを試みます。国内では2013年ころから本格化し、多数の被害が出ています。アカウントの乗っ取りを完全に防ぐのは難しく、会員向けWebサイトを運用する企業や団体のCSIRT(セキュリティ事故対応チーム)にとって悩ましい攻撃の一つです。

 リスト型攻撃では利用者がPCをセキュアに保っていても、アカウントの乗っ取りが発生します。乗っ取られた結果、攻撃者が不正に注文するなどの実害が発生し、乗っ取られた被害者がクレームを出すケースもあります。

 不正注文などが生じればクレジットカード会社や取引先など関係者にも損害が出て、対応が必要となってくるでしょう。アカウント情報を漏洩していないWebサイト運営事業者でも、リスト型攻撃の被害に遭うと「ID・パスワードが流出した」と報じられて、風評被害に発展するケースもあります。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら