パスワードリスト型攻撃(リスト攻撃)は、名前の通りパスワードのリストを使ってアカウントへの不正ログインを試みる攻撃だ。リストは通常、IDとパスワードがセットになっている。リストは、攻撃者が不正アクセスなどによってサーバーから盗みだすこともあれば、フィッシングサイトを利用して集めることもある。アンダーグラウンドマーケットで販売されているパスワードリストを購入するケースもある。

調達サイト、モールの店舗向けページが狙われる

 リスト攻撃に利用するパスワードリストは、ターゲットとするサイトのものでなくても、IDやパスワードを使いまわしていればヒット(ログイン成功)することもあるし、ありがちなパスワードが一致することもある。

 このような攻撃は、多数の一般ユーザーを抱えたソーシャルネットワークサービスやECサイトに対して行われることが多い。しかし、業界向けのマッチングサイトや調達サイトもターゲットとして狙われているので、油断は禁物だ。実は、BtoBサービスは、業務用機器、中古車など取引単価が高い製品を扱うので、詐欺犯や犯罪者にとっては恰好の標的だ。会員は中小企業だしユーザー数はそれほど多くないから、と安心してはいけない。

 調達サイトは、事業者向けのECサイトだ。リアル犯罪と同様に、ネット上の取り込み詐欺などが発生する。例えば中古車の取引サイト、原材料の取引サイトに、会員ユーザーとしてログインできれば偽の注文が可能だ。このような不正ログインに、リスト攻撃が使われる場合がある。

 なお、標的型攻撃では、最終的なターゲットに行きつくため、攻撃者は業界内の情報や取引先の情報を事前に集める必要がある。その過程で、中小企業が攻撃されることも珍しくない。

 ECサイトやショッピングモールサイトに出店している企業や店舗も、注意が必要だ。これらのサイトは、出店者向けの管理システムが用意されているはずだ。出店者のアカウントでログインして、キャンペーンを告知したり、商品情報を編集したりできる。このような事業者向けのログイン画面も、リスト攻撃を受けている。

大手サービスは専用攻撃ツールも存在する

 アンダーグラウンドマーケットでは、パスワードリストだけでなく、パスワードリストを利用した専用の攻撃ツールも流通している。会員数が多い巨大ECサイトになると、専用の攻撃ツールも存在している。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。