総務省、リスト型アカウントハッキングの対策集をサービス事業者向けに公表

　総務省は18日、リスト型アカウントハッキングとみられる不正アクセスが急増していることを受け、インターネットサービス事業者向けの対策集を公表した。

　リスト型アカウントハッキングとは、攻撃者が何らかの手段により入手したIDとパスワードのリストを用いて、さまざまなサイトにログインを試みる攻撃のこと。こうした攻撃から個人情報などを守るためには、利用者側が自身のID・パスワードの管理に際して対策を実施する必要があるが、サービス事業者側にも適切な対策を実施することが重要だとして、実施することが好ましい対応方策をまとめている。

　これまでのリスト型攻撃による被害の特徴としては、ある程度の期間にわたって攻撃が行われており、攻撃が検知されるまでに時間を要するものがあること、数万単位での不正ログインが検出されていること、利用者からの通報や大量のアクセスエラーの発生などにより攻撃が検知されていること、個人情報が閲覧されている可能性があることなどとしている。

　事業者側で攻撃を予防するための対策としては、ユーザーに対してID・パスワードの使い回しについて注意喚起を行うことや、パスワードの有効期間を設定すること、履歴を保存して過去に使用していたパスワードへの変更は認めないようにすること、二要素認証の導入、事業者側でID・パスワードを平文で保存しないなどの適切な管理を行うこと、休眠アカウントの廃止、推測が容易なパスワードの利用拒否などを挙げている。

　また、攻撃を受けた場合に被害の拡大を防ぐ対策としては、認証を複数回失敗したアカウントを停止し、以後の攻撃を防ぐことや、攻撃が行われているIPアドレスからの通信を遮断すること、ログイン履歴を表示するなどして攻撃を検知しやすくすることなどを挙げている。