はじめに

こんにちは。事業開発部の清水です。

本日は、パスワードリスト攻撃に焦点を当てて、その内容と対策を解説してみたいと思います。

• はじめに
• パスワードリスト攻撃とは
• パスワードリスト攻撃で受ける影響
• パスワードリスト攻撃の被害事例
  • 2019年5月 某ECサイト
  • 2019年7月 某運輸会社Webサービス
  • 2019年8月 某ショップ顧客管理システム
  • 参考情報
• パスワードリスト攻撃の特徴
  • 参考情報
• パスワードリスト攻撃の対策
  • 利用者における対策
    • 参考情報
  • Webサイトにおける対策
• まとめ
• 参考情報

パスワードリスト攻撃とは

パスワードリスト攻撃とは、脆弱なサイトから漏洩したパスワードリストを用いて、他のサイトにログインを試みる攻撃です。
ユーザが複数のサイトで同じIDとパスワードを使いまわしている場合、攻撃者による不正ログインが成功してしまいます。

※ パスワードリストは、既に流出したリストを購入することでも入手可能と言われています。

パスワードリスト攻撃で受ける影響

パスワードリスト攻撃により、不正ログインが成功すると、ログイン後しかできない処理が実行可能となってしまいます。

サイトの特性により様々な影響が考えられますが、ECサイトであれば不正な購入処理が可能ですし、キャッシュレスサービスであれば不正な送金処理も可能になるでしょう。
また、顧客管理システムであれば氏名・住所・電話番号などの個人情報、時にはクレジットカード情報などの情報漏洩にも繋がりかねません。
さらに、管理者権限のユーザで不正ログインできてしまった場合、Webサイトの改ざんやWebサイト乗っ取りなどの様々な被害を生み出します。

パスワードリスト攻撃の被害事例

パスワードリスト攻撃は実際どのような被害を生み出しているのでしょうか。
調査してみるとパスワードリスト攻撃による被害は後を絶たず、企業のニュースリリース等でパスワードリスト攻撃による不正ログイン件数を確認できただけでも、直近3か月間で以下のような被害が報告されています。

2019年5月 某ECサイト

不正ログイン件数：461,091件

2019年7月 某運輸会社Webサービス

不正ログイン件数：3,467件

2019年8月 某ショップ顧客管理システム

不正ログイン件数：最大で 38,954 件

参考情報

• IPA「不正ログイン対策特集ページ」
  不正ログイン対策特集ページ：IPA 独立行政法人 情報処理推進機構

• ScanNetSecurity「不正アクセス関連記事」
  不正アクセス | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

パスワードリスト攻撃の特徴

認証を突破するための攻撃は他にも総当たり攻撃(ブルートフォース攻撃)などがありますが、なぜパスワードリスト攻撃が大きな被害を生み出しているのでしょうか。
それを紐解くカギはパスワードリスト攻撃の特徴にあると考えます。

• アカウントロック対策が効かない
  一定回数のログイン失敗によりアカウントをロックするセキュリティ対策は既に多くのサイトで導入されていると思われます。 総当たり攻撃などでは同じユーザに対して異なるパスワードを何度も何度も試行する攻撃のため、アカウントロック対策が有効です。
  ただ、パスワードリスト攻撃では、ユーザと対になるパスワードがあり、それをもとにログイン施行するため、アカウントロック対策が有効ではありません。
  その分、攻撃ツールも容易に作成可能と考えられます。
  

• 認証成功率の高さ
  まだまだ複数サイトのアカウント情報を使いまわしているユーザは一定の割合でいると思われます。
  IPAの2014年の調査では、金銭に関連したサービスサイトと同一のパスワードを使い回している人は25.4%と報告されています。
  その裏返しとして、一定の確率で不正ログインに成功すると考えられ、それが攻撃成功率の高さにつながります。
  

参考情報

• IPA「パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ」
  プレス発表 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ：IPA 独立行政法人 情報処理推進機構

パスワードリスト攻撃の対策

では、パスワードリスト攻撃にはどんな対策が有効なのでしょうか。

パスワードリスト攻撃の対策は利用者側とWebサイト側でそれぞれの対策があり、ここでは代表的な対策を1つずつご紹介します。

利用者における対策

利用者における対策は"パスワードの使いまわしをしない"です。
パスワードの使いまわしをしないことで、他のサイトから漏洩したIDとパスワードを使用してもログインに失敗するため、パスワードリスト攻撃による不正ログインを防ぐことが可能です。
ここではパスワード管理のためのいくつかの方法をご紹介したいと思います。

• メモでの管理
  サイトごとに異なるIDとパスワードの組み合わせを、メモに書いて自宅に保管します。
  会社やカフェなどの公共的な場所ではお勧めできませんが、パスワード管理ツールなどの操作が苦手という方には意外とお勧めなのがこの方法です。ただし、紛失や盗難などには十分気を付ける必要があります。
  

• パスワード管理ツールでの管理
  サイトごとに異なるIDとパスワードの組み合わせを、パスワード管理ツールに保管します。
  "パスワード生成ツール"も一緒に付いているパスワード管理ツールもあり、十分な強度のパスワードの生成も可能です。
  

• ブラウザでの管理
  サイトごとに異なるIDとパスワードの組み合わせを、ブラウザでログインしているアカウントに保管します。 近年、ブラウザにログインすると、そのアカウントに紐づいた複数のIDとパスワードを管理できる機能が提供されるようになりました。 管理機能のみならず、十分な強度のランダムなパスワードをお勧めしてくれる機能も見かけるようになってきました。
  

参考情報

• JPCERT/CC「STOP! パスワード使い回し!キャンペーン2018」
  STOP! パスワード使い回し!キャンペーン2018

• IPA「情報セキュリティ10大脅威 2019」※個人編の第8位 インターネットサービスへの不正ログイン
  情報セキュリティ10大脅威 2019：IPA 独立行政法人 情報処理推進機構

Webサイトにおける対策

Webサイトにおける対策は"二段階認証/二要素認証の導入"です。
二段階認証/二要素認証を導入することで、IDとパスワードだけではログインできなくなるため、パスワードリスト攻撃による不正ログインを防ぐことが可能です。

上記例では、ユーザはID/パスワード認証だけでなく、スマートフォンの認証アプリを使用して取得した認証コードによる認証を行ってログインしています。
このログインの流れを、"二段階認証/二要素認証"と言います。

• 二段階認証
  二段階認証とは2つの段階(two-step)を使用した認証のことを指します。
  上記例では1段階目の認証をID/パスワード認証で、2段階目の認証を認証コードによる認証で二段階認証を実現しています。

• 二要素認証
  二要素認証とは2つの要素(two-factor)を使用した認証のことを指します。
  上記例では1要素目の認証を知識情報であるID/パスワード認証で、2要素目の認証を所持情報である認証コードによる認証で二要素認証を実現しています。

まとめ

今回は、パスワードリスト攻撃とその内容と対策を解説しました。
本記事では代表的な対策をご紹介しましたが、サイト運営側である事業者と利用者ともに基礎的で地道な対策の積み重ねが不正アクセスの被害拡大防止につながると考えます。

参考情報

認証への注目が高まっている今、SSTでは認証に関するセミナーを緊急開催いたしました。
セミナーではより詳しく、またそれぞれの実態に合った対策をご紹介できるよう複数の対策もご紹介いたしました。セミナーレポートや関連記事もあわせてご覧ください。

• セミナーレポート：SSTバックヤード 「セキュリティ専門家からみた認証における課題と不正アクセス対策 」セミナーレポート」

• 関連記事：ITmedia NEWS 「なぜ、セキュリティを意識したサイトでも「認証に不安が残る」のか」