身近に迫るリスト型アカウントハッキングの危険　3

攻撃による被害の拡大を防ぐ対策

リスト型攻撃は、過剰なログインの試行回数と認証エラー回数が発生することや、通常の利用の場合と異なるＩＰアドレスからのアクセスが生じることが考えられます。 このため、攻撃を受けた際、次の対策を講じることが有効と考えられます。

・複数回認証を失敗したアカウントを停止し、以後の攻撃を防ぐ
・攻撃が行われているＩＰアドレスからの通信を遮断する
・ログイン履歴を表示するなど、攻撃を検知しやすくする

これらの点について、具体的な対応策について考えていきます。

１．アカウントロックアウト

リスト型攻撃が行われる場合には、ある程度のログインの認証エラーが発生します。そこで、認証エラーのログを監視し、同一のＩＤに対して一定の閾値以上の認証エラーが発生した場合に、そのアカウントを一時停止する措置を講じることが有効です。 一時停止の措置を受けたアカウントは、リスト型攻撃に再び利用される可能性があるため、正規の利用者の求めによりアカウントを復活させる際、パスワード変更の注意喚起を促すなど、今後の攻撃に対する予防措置を講ずることも考えられます。 この場合のアカウント停止、一時的にサービス利用不能について、あらかじめ利用者の了解を得ておく必要があります。

２．特定のＩＰアドレスからの通信の遮断

リスト型攻撃が行われる際には、大量のアクセスが発生します。１人の利用者が１つのサービスにおいて何十、何百ものアカウントを保有し、それらのアカウントに対して短時間で大量のログインを行うことは一般的に想定されていないため、同一の通信元からの大量アクセスが発生した場合、リスト型攻撃が行われていると判断して、その通信元からの通信を遮断する方法が対策として考えられます。

一般に、インターネットによる通信を行う際には、データを送受信する機器（パソコン、ルータなど）を識別するための番号として、インターネット・サービス・プロバイダ（ＩＳＰ）からＩＰアドレスが割り当てられます。

ＩＰアドレスはいわば住所や電話番号のようなもので、基本的に異なる機器には異なるＩＰアドレスが割り当てられます。

リスト型攻撃による大量のログインが試行される場合には、通常、特定の機器から行われるため、同一のＩＰアドレスから大量の通信が発生することになります。 このため、一定の閾値を設定し、特定のＩＰアドレスから閾値以上のアカウントへのログイン要求の通信が発生した場合には、当該ＩＰアドレスからのアクセスを遮断する方法が考えられます。

この対策は、リスト型攻撃に対する対応策としては非常に有効な対策と言えます。大量の不正ログインが行われている発信元のＩＰアドレスについて、サービスを運営する事業者間で共有し、リアルタイムで対策を講じることも有効な対策と考えられます。

一方で、個別の通信におけるＩＰアドレス情報は、通信の秘密（電気通信事業法 17第4条）として保護されているので、この対応を行う場合には留意する必要があります。 この点は、次の(３)についても同様です。

３．普段とは異なるＩＰアドレスからの通信の遮断

前述の通り、利用者の端末には、契約しているＩＳＰからＩＰアドレスが割り当てられます。 また、一般的にＩＳＰは一定のレンジのＩＰアドレスを保有しており、これを利用者に自動的に割り当てているため、利用者がＩＳＰから割り当てられたＩＰアドレスにより通常使用している端末からアクセスを行った場合には、比較的近似のＩＰアドレスからの通信が行われることになります。

このため、通常ログインされているＩＰアドレスから大きくレンジの外れたＩＰアドレスからのログインがあった場合には、正規の利用者ではなく、第三者からの不正なアクセスされた可能性があります。

これに着目し、通常のＩＰアドレスから大きくレンジの外れたＩＰアドレスからのアクセスがあった場合に警告を発すると共に通信を遮断する方法が対策として考えられます。 この対策については、リスト型攻撃に限らず、広く不正アクセスの防止に効果があります。 ただし、出張時などにおいて、出張先などのインターネットカフェや公衆無線ＬＡＮスポットを利用して通信を行うことも考えられるため、通常のＩＰアドレスから大きくレンジの外れた通信が必ずしも不正なアクセスによるものとは言い切れません。

そのため、攻撃のあったＩＰアドレスからの通信を遮断するという手段の他にも、そのような通信が発生した際に、前回のブログで説明した対策の一つである「二要素認証」を用い、利用者があらかじめ登録しているメールアドレスにワンタイムパスワードを送付し、認証要素を追加する対策も考えられます。

４．ログイン履歴の表示

リスト型攻撃は、大量のログインや認証エラーが発生する場合などは、検知もしやすいですが、ごくわずかな件数にとどまる場合など、サービスを運営する事業者による検知が困難な場合もあります。

そのため、利用者が不正に使われた形跡の有無を確認できるようにし、不正利用に関する届出窓口を整備するなど、利用者からの不正アクセスに関する通報の仕組みを整える対策も考えられます。

具体的には、利用者がログインを行う度に、あらかじめ登録しているメールアドレスにメールを送付して通知を行う、また、ログイン履歴を保存し、ログイン後の画面に前回のログイン日時を表示するなど、利用者にアカウント利用実績を認識することができるように設定する方法が考えられます。

この対策は、あくまでも被害を受けた後の実態把握に役立つものであり、被害の防止対策ではありませんが、利用者において、これまで検知が困難であったリスト型攻撃についての発生状況の把握が容易となり、サービスを運営する事業者においても、利用者から報告を受ければ、パスワード変更などの被害の拡大防止策の検討に役立たせることができます。

まとめ

これまで挙げた対応策についてはあくまでも一例であり、攻撃者においても新たな攻撃手法を日々生み出していることから、今回ご紹介した対策が必ずしも長期的に有効とは限りません。 このため、サービスを運営する事業者において、常に有効なセキュリティ対策に自主的に取り組んでいくことが重要です。

また、企業のIT部門がセキュリティ全般を管理するには、高いスキルと多くのリソースが必要とされます。サイバーセキュリティ対策に関するご相談をプロにするのもセキュリティ対策を高める上で有用です。

シングテルのセキュリティサービスを詳しく見る>>