年末年始はパスワードの見直し＆棚卸しを、“使い回し”狙われた2013年

　国内のセキュリティ関連ニュースで今年目に付いた話題の1つに、“大量不正ログイン攻撃”が挙げられる。INTERNET Watchで取り上げているだけでも、27社に対して攻撃が発生していたことが分かっており、続報などを含め、それらを報じたニュース記事は計32本に上る。大量不正ログイン攻撃に関する記事で、2013年を振り返る。

ID・パスワードの“使い回し”は被害連鎖のもと

　“不正ログイン”という言い方は本誌をはじめ便宜的に用いている言葉のようだが、他人のID・パスワードを使ってログインする“不正アクセス”の一種だ。こうした“なりすまし”によるログインとしては、ネットバンキングの不正送金のために行われたり、知人や友人、元恋人などのSNSやメールのアカウントに侵入するなどの事件もしばしば見かけるが、今年話題になったのは、そうした特定ターゲットのアカウントをピンポイントに狙った不正アクセスではなく、大量のアカウントに対してログインを試行し、ログインできたアカウントに侵入するというものだ。

　使われている手法は、“パスワードリスト攻撃”あるいは“アカウントリスト攻撃”などと呼ばれる。IDとパスワードの組み合わせの“リスト”を攻撃者がどこからか入手し、そこにあるID・パスワードでログインできるかどうか、あちこちのウェブサービスで試していく。このIDとパスワードの組み合わせは、実際にどこかのウェブサービスに登録されているものであるため、仮にユーザーが同じID・パスワードの文字列を複数のサービスで“使い回し”している場合、こうした攻撃によって不正ログインに成功されてしまう。

　その結果、そのアカウントでためていたポイントを不正使用された事例もあったが、サービスによっては決済などの機能を使うにはさらなる認証が必要なところもあるため、直接的な被害としては今のところ、それほど深刻な被害には発展していないようにも見える。しかし、登録されている個人情報などが閲覧されるということは、それをもとに別の攻撃に悪用されるなどの被害に発展する可能性もある。また、本人になりすましてログインできるということは、本人になりすましてSNSやメールなどで勝手に悪意のある情報を発信したり、サービスによってはウェブサイトの改ざんに悪用される恐れもある。

独立行政法人情報処理推進機構（IPA）が8月、「全てのインターネットサービスで異なるパスワードを！」と注意喚起。その際に示した“パスワードリスト攻撃”の被害イメージ

　多数のアカウントに大量の不正ログイン試行を行う手法としてはこのほか、1つのIDに対してありがち単語などのさまざまな文字列のパスワードを入力してしらみつぶしに試していく、“ブルートフォース攻撃”あるいは“辞書攻撃”と呼ばれるものがある。しかし、ウェブサービスでは通常、一定回数連続してログインに失敗すると、しばらくログインがロックされるなどの対策が講じられており、ターゲットのアカウントが不特定多数に及ぶ場合は、あまり効率がいいとは言えない。

　これに対してパスワードリスト攻撃は、実際にどこかのサービスで使われているID・パスワードを用いるという点が異なる。複数のサービスでそれぞれ異なるID・パスワードを使おうにも覚えきれないといった理由で、パスワードの使い回しが行われがちなのは事実であり、そのようなユーザーが半数以上いるとの調査結果もある。攻撃者にとってパスワードリスト攻撃は、ブルートフォース／辞書攻撃よりも格段に効率がいいというわけだ。

　もちろん、ID・パスワードのリストを攻撃者が保有していることが前提だが、今年明るみになった攻撃では、不正ログインに成功されてしまったアカウントが数十万件に上った事例もあった。経路は不明だが、日本のサービスで実際に使われている（使われていた）アカウント数十万～数百万件規模のリストが存在するものと考えられる。

　こうした規模のリストが流出していることを考えると、たとえあなたがフィッシングサイトに引っかかったり、ウイルス感染などして自分でアカウント情報を漏らしていなかったとしても、どこからか流出しているという可能性だってあるかもしれない。万一、とあるサービスで使っているアカウント情報が流出してしまった場合でも、連鎖的に他のサービスにまで不正ログインされてしまわないよう対策をとっておいたほうがいい。この年末年始には、ID・パスワードを見直すとともに、入会したまま最近は使わずに放置してあるようなサービスのアカウントは登録を削除するなど、ID・パスワードの“棚卸し”を行ってみてはどうだろうか。

2013年の大量不正ログイン攻撃を伝えたニュース記事は32本

　パスワード使い回しの危険性や、アカウント／パスワードリスト攻撃の存在については数年前から指摘されていたが、国内で連続発生するようになったのは2013年に入ってからと思われる。4月はじめの「gooID」に対する攻撃が本誌で最初の記事だが、その後で公表・報道された事例の中には、攻撃自体はそれよりも前に発生していたものもあった。極端なものでは、攻撃を受けたサービスの運営会社が攻撃発生当時は気付かずに、数カ月経過してからようやく認知・公表した事例もある。

　こうした大量の不正ログイン試行を受けたら、システム側で検知してくれるのでは？　と思ってしまうが、どうもそうとも限らないらしい。また、実際に不正ログインされてしまっても、本物のID・パスワードを使っているのだから、区別しようにも不正ログインと区別できない場合もあるようだ。

　今も大量不正ログイン攻撃を受けたことをサービス運営者が認識しておらず、公表されていない事例がある可能性も十分に考えられる。個人情報を閲覧されただけでは確認のしようがないかもしれないが、ID・パスワードの見直し・棚卸しの際には、身に覚えのない利用履歴がないかもチェックする必要がある。ログイン履歴が参照できるサービスでは、あわせてチェックするといいだろう。