サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 パスワードリスト型攻撃の脅威とその対策

パスワードリスト型攻撃の脅威とその対策

パスワードリスト型攻撃の脅威とその対策
目次
  • 今回の解説ニュース
  • リスト型攻撃への対策、「reCAPTCHA」とは
  • 使いまわしがちなパスワード、管理方法はどうとるべきか?

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

「ふるさとプレミアム」にパスワードリスト型攻撃、発覚日に遮断システム導入とパスワード強制リセット実施

株式会社ユニメディアは3月2日、同社が運営するふるさと納税支援サイト「ふるさとプレミアム」への不正ログインについて発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

大量のリスト型攻撃によって不正ログインが発生したことについて発表されています。リスト型攻撃の対策や、パスワードの適切な管理方法について説明します。

今回のインシデントは、管理画面の異常に気付き、調査を開始したところ、ディスク使用量が100%に到達していたことが判明しました。原因として、膨大な回数のパスワードリスト攻撃を受けた可能性が挙げられています。具体的には、日本国内の2,000以上のIPアドレスから分散攻撃の形跡があり、その攻撃回数は約600万回に及んでおり、推計2,099ユーザーで不正ログインが成功したと発表されています。

パスワードリスト攻撃とも呼ばれているリスト型攻撃とは、攻撃者が何らかの方法で入手したIDとパスワードの組み合わせをリスト化して不正ログインに使用するサイバー攻撃です。実際に使われているIDとパスワードの組み合わせを使うことにより、その他の攻撃より成功率が高い攻撃とされています。

対策として、大量アクセスを自動的に遮断できるシステムを導入することで、botによるパスワードリスト攻撃を遮断しています。また、不正ログインと見做し得る攻撃対象5,774件について、利用者IDに紐づくパスワードの強制リセットを実施し、利用者にも連絡を行っています。既に、管轄の警察署に相談し捜査依頼が受理されており、その他監督省庁や専門機関への報告も完了しています。再発防止策として、セキュリティを専門とする第三者機関に事態の解析を依頼しており、報告結果を受けて抜本的かつ恒久的な対策を決定しているということです。

リスト型攻撃への対策、「reCAPTCHA」とは

ログイン画面などへの大量アクセスを自動的に遮断するシステムを事前に導入することはできますが、すべてのリスト型攻撃に対応できるわけではありません。

今回のインシデントでは、リスト型攻撃の対策としてGoogleが提供するreCAPTCHAが使われています。reCAPTCHAとは、利用者が人間でありプログラムではないことを確かめる仕組みであるCAPTCHAと、そのデータを再利用していくための仕組みです。Googleがバージョン3まで開発を進めており、よりシンプルで簡単に、人間かプログラムかの判定を行っています。

導入方法はとても簡単です。GoogleのサイトでreCAPTCHAを取得し、適用したいWebサイトにコードを埋め込むだけです。reCAPTCHAが埋め込まれたフォームに利用者がアクセスすると、Googleのサーバに確認のアクセスが発生し、利用者の行動に関する情報から、人間ではない可能性が考えられる場合、再認証や再入力を求めたりするなどして、プログラムによるアクセスを拒否することができます。過去のreCAPTCHAでは、プログラムが読めない文字画像を表示して入力させることで確認していましたが、人間でも読み取ることが難しくなるほど複雑化してしまったため、現在は機械学習による行動スコアによって判定する仕組みが採用されています。

ただし、reCAPTCHAでもすべてのリスト型攻撃に対応できるわけではありません。実際に確認されたリスト型攻撃として、ページを迂回しながら十分な間隔を経て、IDとパスワードの組み合わせが試行される事例が存在しています。人間の行動を再現したリスト型攻撃が行われた場合、reCAPTCHAの行動スコアの閾値によっては、未然に防ぐことが難しくなる場合があるということです。

使いまわしがちなパスワード、管理方法はどうとるべきか?

複数のサービスへ個別にパスワードを設定する必要がある場合、パスワードを忘れたり、覚えられる簡単なパスワードを設定してしまうことが考えられます。そのような状況を回避して、利用者側でパスワードを安全に管理するためには、パスワードマネージャを利用することが有効です。

安全に管理するパスワードマネージャの有効性
多くのパスワードマネージャーでは、強力かつ固有のパスワードを自動で作成してくれます。万が一、パスワードがインターネットに漏えいした場合も、その事実を通知してくれる場合もあります。
Webサイトごとにパスワードが生成される
また、パスワードマネージャはWebサイトごとに自動でパスワードを入力してくれるため、フィッシングサイトに誤ってパスワードを入力してしまうこともありません。1つのパスワードを確実に守ることで、効率的にセキュリティを担保できる仕組みです。

今回は、リスト型攻撃の対策であるreCAPTCHAとパスワードの管理方法についてお届けしました。パスワードは一番身近なセキュリティ対策になりますので、皆さんにとって参考となれば幸いです。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ