パスワードリスト攻撃につながる4つの原因と、ほんとに怖い2つのケース：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

　当然ながら、これはサイバー攻撃集団から大いに注目されてしまうポイントだ。サイバー攻撃集団が不正にパスワードを入手してSNSなどにログインしたとする。そこで得た個人情報から勤務先を知り、そこへ侵入したいと考えた――そう、この時点でパスワードが極めて有効な攻撃ツールになってしまう。

　パスワードを入力させるWebサイトが急増している。ユーザーとしては、いちいちパスワードを変えて入力するのが面倒だ。半年間もアクセスしないようなWebサイトなら、どんなものを入力していたのか分からなくなるし、全く覚えていないかもしれない。

　恐らくネットバンキングならリスト攻撃に使われると考え、パスワードを忘れないように努力するだろう。でも、そうではないWebサイトならどうか。勤務先のパスワードなら覚えているし、「まさかプライベートで利用するWebサイトへの攻撃に会社のパスワードが使われることはないだろう」と高を括るに違いない。

　実は企業でこういう「輩」が密かに増加している。そこが「大きな落とし穴」であると事前に気が付くケースは、ほとんない。取り返しがつかないほど大きな被害に遭ってから気が付くのはまだ良い方で、被害に遭っても気が付かない例が多い。もしかしたら従業員個人が気が付くことはあっても、自ら申告する人はまずいないだろう。会社としても、従業員個人の使い回しが原因であるかなどを調べようがないのだ。

　つまり、こうした「隠れパスワードリスト攻撃」が大きな被害をもたらしている可能性が高いのである。実態は攻撃者側しか知らない。

　一部の事案について筆者が偶然調査できた中で分かった例もある。具体的には公表できないが、かなりの割合で「隠れパスワードリスト攻撃」による被害が発生していた。ここで紹介できる範囲で挙げてみても、従業員が加害者である可能性を調べるために、自宅PCを詳しく解析して判明したケースもあるし、インターネットの履歴などや、会社で使われていたパスワードがテキストファイルに保存されていたといった、簡単なことで判明するケースもあった。

　情報処理推進機構（IPA）が2014年9月17日に、「STOP!! パスワード使い回し!!」という呼びかけを行い、Webサイトを公開した。その中でパスワードリスト攻撃を受けた会社での不正ログインの成立率が掲載されている。最高は何と9.98％であり、10回の攻撃で1回は成功してしまうという恐ろしいほどの確率だ。最小の事案は0.15％である。これでもブルートフォース攻撃（総当たり攻撃）の確率からすると、もはや作為的と思わずにはいられないほどの高い確率である（平準では合致する可能性が約500兆分の1しかない）。

　それでは、どう防御すべきだろうか。決まり文句だが、企業の場合の個別具体策は環境やシステム構成、セキュリティ方針などによって異なるので、ここでは原則をお伝えしたい。

　まず、プライベート利用におけるパスワードの管理が基本となる。この点については以前もお伝えしたが、原則としてパスワードは紙にメモして良い。

　なぜなら、インターネットを駆使してパスワードを搾取する人間は、ある意味で“別の世界の人間”であり、ネットの向こう側の、しかも、アンダーグラウンドで活動している。そんな人間と物理的に接触し、ピンポイントで紙にメモしたパスワードが知られ、あるWebサイトで不正ログインが成立してしまう確率は、それこそ天文学的数字になってしまう。