パスワードリスト攻撃につながる4つの原因と、ほんとに怖い2つのケース萩原栄幸の情報セキュリティ相談室(1/3 ページ)

2014年は、IDやパスワードの使い回しが原因とみられるWebサイトへの不正ログインが多数発生した。この原因につながる4つのパターンがあることをご存じだろうか。特に2つは深刻な事態を引き起こしかねない。

» 2014年12月12日 08時00分 公開
[萩原栄幸,ITmedia]

 2014年のセキュリティ動向を振り返ると、大きく注目されたことの1つにパスワードリスト攻撃を挙げることができるだろう。

 この記事は2014年6月12日に掲載された。この類の記事は様々なニュースサイトやセキュリティ会社のWebサイトでも出されており、読者の方々も一度はご覧になったことがあると思う。

 だが現在に至るまで、アンダーグラウンドの世界では「パスワードリスト攻撃は極めて有効だ」という評価が飛び交っている。筆者も依頼を受けて確認した企業で、実際に通用してしまったところが多くあった。

 パスワードリスト攻撃とは、別のサービスやシステムから漏えいしたアカウント情報を用いて不正にログインを試みる攻撃手法である。ユーザーがIDやパスワードなどのログイン情報を使い回していることが原因だといわれる。

 攻撃者にとっては、まず脆弱なWebサイトを狙い撃ちで攻撃し、そこから搾取したIDとパスワードを当てるだけで、別の比較的セキュリティが強固なWebサイトであっても相当な確率によってこじ開けることができてしまう。この攻撃の被害が話題になるということは、こじ開けられてしまうユーザーが実に多いということだ。どんなに堅牢でも、IDとパスワードだけでガードしているWebサイトがパスワードリスト攻撃に遭えば、ほとんど意味がなくなってしまうという訳だ。

 あまり語られていないが、筆者のような専門家がみると、パスワードリスト攻撃の種類は4つに分類できる。

  1. プライベートで利用するWebサイトで作成したパスワードを、別のプライベートで利用するWebサイトのパスワードに利用するケース
  2. プライベートで利用するWebサイトで作成したパスワードを、勤務先のパスワードでも利用するケース
  3. 上記2とは逆で、勤務先から与えられた(もしくは生成された)パスワードをプライベートで利用するケース
  4. 企業内のAシステムのパスワードをBシステムでも利用するケース

 マスコミやネットの記事が伝えるパスワードリスト攻撃のイメージはほとんどが(1)であろう。しかし、現場で本当に怖いのは(2)もしくは(3)だ。特に(3)では一部の企業が既に予防策をとっている。

 企業の観点ではどうか。(1)のケースは全て個人のリスクになるのであまり興味がない。(4)については、自分たちで調査できるため、厳罰を科せば、相当な割合でこれをしている従業員がいなくなる。だが、(2)や(3)は実態を把握することが極めて難しい。「実質的には調べられない」というのが本音である。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ