他社のWebサービスなどから流出したアカウント(ユーザーIDとパスワード)のリストを使って、別のWebサービスに対して不正ログインを試みる「リスト型攻撃」が後を絶たない(図1)。国内ネットサービスの多くが被害に遭っている(関連記事:「リスト型攻撃」が止まらない)。

図1●リスト攻撃のイメージ図
[画像のクリックで拡大表示]

 リスト型攻撃は、「リスト攻撃」「パスワードリスト攻撃」「アカウントリスト攻撃」などと呼ばれている。2013年末ごろからは、総務省が発表資料などで「リスト型アカウントハッキング」という名称を使っているため、Webサービス提供者なども、この名称を使うようになっている(関連記事:リスト型アカウントハッキング)。

 リスト型攻撃では、特定のIPアドレスから、数万回から数百万回にわたって不正なログインが試行される。だが、一つのユーザーIDに対するログイン試行は1~2回であることがほとんどなので、正規ユーザーのログイン試行と区別することが難しい。Webサービス提供者側ではリスト型攻撃を防ぎきれないのが現状だ。このため、ユーザーがパスワードの使い回しをしないことが、何よりも有効な対策となる。

 とはいうものの、使い回しをしないことは非常に難しいのではないかと、個人的には思っている。この考えが間違っていないことを“確信”させる調査結果が公開されたので紹介しよう。

4人に1人は使い回している

 情報処理推進機構(IPA)は2014年8月5日、「オンライン本人認証方式の実態調査」報告書を公開した。IPAでは、リスト型攻撃が多発していることを受け、ネットサービスのユーザーおよびサービス提供者それぞれのオンライン本人認証(パスワード認証など)の実態を調査した。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら