身近に迫るリスト型アカウントハッキングの危険 1

ハッキングによる攻撃に、リスト型アカウントハッキングがあります。リスト型アカウントハッキングとは何でしょうか。今年、日本国内の大手企業が受けた攻撃から見てみましょう。

FacebookTwitterLinkedIn
List type account hacking 1

日本国内の企業への攻撃

今年の春、日本国内の大手企業が運営するオンラインストアがリスト型アカウントハッキング攻撃を受け、約46万件のIDに不正ログインされたことがニュースになりました。
これによる被害は、不正ログインを受けたユーザーの氏名や住所、電話番号などの個人情報が第三者に閲覧されるというものです。

このように、昨今、国内大手ポータルサイトや会員制ウェブサイトに対する不正アクセスや攻撃が多発しています。それらの多くは、いわゆる「リスト型アカウントハッキング攻撃(リスト型攻撃)」によるもので、何らかの手段により個人情報であるIDやパスワードを入手した第三者が、これらのID・パスワードをリストのように用いて様々なサイトにログインし、被害が拡大しています。
リスト型攻撃によるものとみられる不正アクセスが増加している背景には、インターネットバンキングやフリーメールサービス、動画投稿サイト、ソーシャル・ネットワー キング・サービス(SNS)などのインターネットを用いたサービスが拡大し、多くの人がサービス利用に当たって自らのアカウントを所有するようになったことが関係しています。 特に、ID・パスワードによりアカウントにログインすれば、ウェブサイトから、氏名・住所などの個人情報やクレジットカードなどの信用情報など多様で重要な情報が得られるようになったことが要因と考えられます。
ある調査によれば、ID・パスワードによるログインが必要となるウェブサイトについて、一人あたり約 14 のウェブサイトを利用しているとも言われています。 その利用者のうち約7割が3種類以下のパスワードを複数のウェブサイトで使い回しをしているとのことです。リスト型攻撃は、このような現状を悪用したサイバー攻撃であると言えます。

リスト型攻撃から個人情報や信用情報などを守るためには、どうすればよいでしょうか。

利用者自身がID・パスワードの管理に際して対策を実施すべきであることは言うまでもありません。

しかし、リスト型攻撃による不正アクセスの発生やそれに伴う個人情報の漏洩は、企業のコンプライアンス上の問題でもあり、企業の信用を損ねる危険があります。

また、内部調査及び復旧のためにサービスを停止する事態になれば、多くの不利益や損失が発生することになるなど、サービスを提供する事業者側にとっても大きな問題となります。このため、サービスを提供する事業者として、ビジネス的観点やインターネット利用の安全・安心を確保する観点から、サービスの運営に際して適切な対策を実施することが不可欠です。

では、今後のリスト型攻撃による被害の拡大を防ぐため、ID・パスワードを用いてサービスを提供する事業者、特に利用者がID・パスワードを自ら設定する形態をとっている事業者として実施することをお勧めする方策について考えていきましょう。
例えば、名前や住所などの個人情報やクレジットカード情報などの信用情報に至るまで、管理されている情報資産の価値はさまざまです。それらに合わせた適切なレベルの安全対策を選ぶ必要があります。

deployment
deployment

これまでのリスト型攻撃による被害の特徴

ここでまず、これまで発表されてきた企業のニュースリリースなどの公表資料から、最近発生した主なリスト型攻撃案件について分析し、攻撃の特徴について挙げてみましょう。

(1) ある程度の期間にわたって攻撃が行われているものがあり、攻撃が検知されるまでに時間を要するものがあること
(2) 数万単位での不正ログインが検出されていること
(3) 利用者からのログインができないといった通報、大量のアクセスエラーの発生、特定のIPアドレスからの不正なログインの検知、社内の調査によって攻撃が検知されていること
(4) 氏名、性別、生年月日、住所などの個人情報が閲覧されている可能性があること

これらの特徴を参考にして、リスト型攻撃に対して考えられる対応策について考えてみましょう。

攻撃を予防する対策

リスト型攻撃とは、リスト化されたID・パスワードが第三者によって入手され、これらを用いて行われるものです。前述の通り、インターネット利用者の約7割の人が3種類以下のパスワードを複数のウェブサイトで使い回しているとの調査結果があり、攻撃者もこのパスワードの使い回しに着目して不正アクセスを行っています。 このため、攻撃の予防として、次の対策を講じることが有効だと考えられます。

・ID・パスワードの使い回しをしないなどの注意喚起を行う
・パスワードを定期的に更新し、リストを陳腐化する
・ID・パスワード以外の認証要素を追加する
・ID・パスワードの保管を徹底し、リスト化を防ぐ
・一定期間利用の無いアカウントを廃止し、不正ログイン後の悪用を防ぐ
・推測が容易なパスワードの設定を受け付けない

次回は、これらに対するセキュリティ対策の一つひとつについて、具体的な対応策を掘り下げていきます

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。