身近に迫るリスト型アカウントハッキングの危険　１

今年の春、日本国内の大手企業が運営するオンラインストアがリスト型アカウントハッキング攻撃を受け、約46万件のIDに不正ログインされたことがニュースになりました。
これによる被害は、不正ログインを受けたユーザーの氏名や住所、電話番号などの個人情報が第三者に閲覧されるというものです。

このように、昨今、国内大手ポータルサイトや会員制ウェブサイトに対する不正アクセスや攻撃が多発しています。それらの多くは、いわゆる「リスト型アカウントハッキング攻撃（リスト型攻撃）」によるもので、何らかの手段により個人情報であるＩＤやパスワードを入手した第三者が、これらのＩＤ・パスワードをリストのように用いて様々なサイトにログインし、被害が拡大しています。
リスト型攻撃によるものとみられる不正アクセスが増加している背景には、インターネットバンキングやフリーメールサービス、動画投稿サイト、ソーシャル・ネットワー キング・サービス（SNS）などのインターネットを用いたサービスが拡大し、多くの人がサービス利用に当たって自らのアカウントを所有するようになったことが関係しています。 特に、ＩＤ・パスワードによりアカウントにログインすれば、ウェブサイトから、氏名・住所などの個人情報やクレジットカードなどの信用情報など多様で重要な情報が得られるようになったことが要因と考えられます。
ある調査によれば、ＩＤ・パスワードによるログインが必要となるウェブサイトについて、一人あたり約 14 のウェブサイトを利用しているとも言われています。 その利用者のうち約7割が3種類以下のパスワードを複数のウェブサイトで使い回しをしているとのことです。リスト型攻撃は、このような現状を悪用したサイバー攻撃であると言えます。

リスト型攻撃から個人情報や信用情報などを守るためには、どうすればよいでしょうか。

利用者自身がＩＤ・パスワードの管理に際して対策を実施すべきであることは言うまでもありません。

しかし、リスト型攻撃による不正アクセスの発生やそれに伴う個人情報の漏洩は、企業のコンプライアンス上の問題でもあり、企業の信用を損ねる危険があります。

また、内部調査及び復旧のためにサービスを停止する事態になれば、多くの不利益や損失が発生することになるなど、サービスを提供する事業者側にとっても大きな問題となります。このため、サービスを提供する事業者として、ビジネス的観点やインターネット利用の安全・安心を確保する観点から、サービスの運営に際して適切な対策を実施することが不可欠です。

では、今後のリスト型攻撃による被害の拡大を防ぐため、ＩＤ・パスワードを用いてサービスを提供する事業者、特に利用者がＩＤ・パスワードを自ら設定する形態をとっている事業者として実施することをお勧めする方策について考えていきましょう。
例えば、名前や住所などの個人情報やクレジットカード情報などの信用情報に至るまで、管理されている情報資産の価値はさまざまです。それらに合わせた適切なレベルの安全対策を選ぶ必要があります。

ここでまず、これまで発表されてきた企業のニュースリリースなどの公表資料から、最近発生した主なリスト型攻撃案件について分析し、攻撃の特徴について挙げてみましょう。

(1) ある程度の期間にわたって攻撃が行われているものがあり、攻撃が検知されるまでに時間を要するものがあること
(2) 数万単位での不正ログインが検出されていること
(3) 利用者からのログインができないといった通報、大量のアクセスエラーの発生、特定のＩＰアドレスからの不正なログインの検知、社内の調査によって攻撃が検知されていること
(4) 氏名、性別、生年月日、住所などの個人情報が閲覧されている可能性があること

これらの特徴を参考にして、リスト型攻撃に対して考えられる対応策について考えてみましょう。

リスト型攻撃とは、リスト化されたＩＤ・パスワードが第三者によって入手され、これらを用いて行われるものです。前述の通り、インターネット利用者の約7割の人が3種類以下のパスワードを複数のウェブサイトで使い回しているとの調査結果があり、攻撃者もこのパスワードの使い回しに着目して不正アクセスを行っています。 このため、攻撃の予防として、次の対策を講じることが有効だと考えられます。

・ＩＤ・パスワードの使い回しをしないなどの注意喚起を行う
・パスワードを定期的に更新し、リストを陳腐化する
・ＩＤ・パスワード以外の認証要素を追加する
・ＩＤ・パスワードの保管を徹底し、リスト化を防ぐ
・一定期間利用の無いアカウントを廃止し、不正ログイン後の悪用を防ぐ
・推測が容易なパスワードの設定を受け付けない

次回は、これらに対するセキュリティ対策の一つひとつについて、具体的な対応策を掘り下げていきます