総当たり(ブルートフォース)攻撃と思われた手口は、実際はIDとパスワードの組み合わせを大量に試す手口だったことが分かってきた。
3月下旬から国内サイトで不正ログインが行われる事件が相次いでいるが、IDやパスワードを使い回しが被害を大きくさせた原因の一つになっているようだ。被害に遭ったサイト運営各社の調査から、そうした状況が浮かび上がりつつある。
4月9日にNTTレゾナントとイーブックイニシアティブジャパンが、不正ログインに関する調査の追加報告を行った。両社は初期の報告で、IDやパスワードの文字列の組み合わせを総当たりで試す「ブルートフォース攻撃」の可能性を挙げていた。
イーブックイニシアティブジャパンは、「攻撃者が事前に入手していたIDとパスワードを試行する大量のアクセス行為が判明した」と説明。NTTレゾナントは、「使用を認めていない文字種や文字数も含まれ、他社サービスから流出したIDやパスワードの組み合わせを試行している可能性が認められた」としている。なお、6日に「Tサイト」での不正ログインを公表したカルチュア・コンビニエンス・クラブも、「外部からの侵入などによる当社からのIDとパスワードの漏えいは確認されておりません」と説明していた。
イーブックイニシアティブジャパンは、判断の根拠として「一つのログインID(メールアドレス)について試行するパスワードの数が少なかった」としている。不正ログインが成功したケースでは、1つのIDについてパスワードを試す行為は最大でも5回にとどまる一方、1回目で成功したIDが半数近くを占めていたという。
こうした点から、一部の事件では攻撃者が入手済みのIDとパスワードのリストをもとに、ほかのサイトでもその組み合わせが通用するかどうかを試す目的があったとみられる。不正ログインが成立してしまったIDとパスワードの組み合わせは、既に別サイトでも利用されていた可能性が高い。
情報処理推進機構(IPA)をはじめ国内外のセキュリティ機関では以前から、IDやパスワードを使い回す危険性を度々指摘している。だが、トレンドマイクロが昨年12月に発表した調査によると、インターネットユーザーの2人に1人は「パスワード変更の習慣ない」という実態が明らかになった。今回の一連の事件で、IDやパスワードを使い回すリスクが改めて顕在化したと言えそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.