サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 「パスワードリスト型攻撃」が対策の難しい攻撃手法と言われる理由

「パスワードリスト型攻撃」が対策の難しい攻撃手法と言われる理由

「パスワードリスト型攻撃」が対策の難しい攻撃手法と言われる理由
目次
  • 今回の解説ニュース
  • パスワードリスト型攻撃はなぜ対策が難しいと言われるのか

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

「エン転職」にパスワードリスト型攻撃、255,765名分のWeb履歴書に不正ログインされた可能性

エン・ジャパン株式会社は3月30日、同社が運営する総合転職情報サイト「エン転職」を管理するWebサーバへの外部からの不正ログイン発生について発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

パスワードリスト型攻撃によって、多数の個人情報が漏洩してしまったということです。今回は、パスワードリスト型攻撃の内容や、その対策が難しい理由について説明します。

今回のインシデントは、転職情報サイトのWebサーバで不正なログインを確認し、同社内で調査したところ、一部ユーザーのWeb履歴書へ不正にアクセスされた可能性が判明したということです。原因として、外部から不正に取得したと推測されるIDとパスワードを使用したなりすましによる不正ログイン、いわゆるパスワードリスト型攻撃が挙げられています。

対策として、不正ログインに該当するユーザーに対しパスワードのリセットを実施、パスワードの再設定方法と注意点を個別にメールで案内しています。また、不正ログインを試行していた送信元IPアドレス群からの通信をブロックし、所轄警察署への通報と相談、個人情報保護委員会など関係省庁への報告を行っています。

再発防止策としては、ID及びパスワード認証以外のシステムセキュリティの高度化を図る等、さらなるセキュリティレベルの向上策に取り組むということです。

パスワードリスト型攻撃はなぜ対策が難しいと言われるのか

パスワードリスト型攻撃は他と比較して成功率の高いサイバー攻撃と言っても過言ではありません。個人差はあれど、人の記憶力には限界があります。よって、記憶力だけに頼ってパスワードを設定されることを考えると、同じ文字列が使いまわされることは、必然的に発生してしまうことになります。

最近のWebサービスではIDにメールアドレスを使うことが多いため、パスワードが使いまわされてしまうと、同じIDとパスワードの組み合わせで複数のWebサービスへログインできてしまうことになります。これが、パスワードリスト型攻撃の成功率が高い理由のひとつです。

パスワードリスト型攻撃の対策が難しい理由は、通常の認証と区別がつきづらいことが挙げられます。例えば、Aさんのメールアドレスがわかったとして、パスワードを推測してみたとします。総当たりでランダムな文字列を試したり、氏名や生年月日を組み合わせた文字列を試したりしても、AさんのIDに対する、短期間かつ多数の認証失敗が発生しますので、サイバー攻撃に気が付くことできます。

一方で、パスワードリスト型攻撃は特定のIDに攻撃が集中せず、かつ実際に使われているパスワードが使いまわされていることから、他のサイバー攻撃と比較して認証失敗の発生する数は少なくなります。つまり、パスワードの入力間違いから発生する通常の認証失敗と区別がつかず、結果として対策が遅れている原因となっています。

IDとパスワードの組み合わせで認証しているWebサイトは、すべて攻撃の対象になることを認識してください。二要素認証が適切に使われていれば、有効な対策になりますので積極的に利用しましょう。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ