パスワードの使い回しはなぜ厳禁? パスワードリスト攻撃の脅威
【パスワードの使い回しがいけない理由】
本noteでも度々パスワードの使い回しについて言及していますが、そうは言ってもサイトごとにパスワードやIDを新しく作るのは面倒……と思う方は多いかと思います。一つだけのパスワードで登録してしまえば、覚えるのも入力するもの楽なことは確かです。
なぜセキュリティの基本として「パスワードの使い回しは厳禁」なのか。その理由はパスワードリスト攻撃にあります。
【パスワードリスト攻撃とは?】
パスワードリスト攻撃とは、攻撃者がどこかで不正に入手したIDやパスワードを利用し、サービスやシステムに不正アクセスを図るサイバー攻撃手法です。パスワードリスト攻撃は、ただサイトへの不正アクセスを引き起こすだけでなく、個人情報の漏洩やオンライン送金などの不正利用など、大きな被害をもたらすリスクがあります。
更に注意するべき点として、この攻撃で利用されているパスワードのリストは、不正アクセスを試みるサービスから流出したものとは限らない、という点が挙げられます。別のサービスであっても、ユーザーが複数のサービスで同じIDとパスワードの組み合わせを使っていれば、不正にログインすることができてしまいます。
出典:docomo business
https://www.ntt.com/bizon/glossary/j-h/passlist-attack.html
【パスワードリスト攻撃に遭うリスクが高まる原因】
・ユーザーID・パスワードの使いまわし
wiz LANSCOPEでは次のように述べています。
ただし、昨今提唱される説の中には「単純なパスワードを使い分けるより、長く複雑なパスワードを複数サイトに用いる方が安全である」という意見もあり、最適な落としどころを選択することが望ましいでしょう。
https://www.lanscope.jp/blogs/cyber_attack_pfs_blog/20230905_33240/
しかし流出したID・パスワードと同じログイン情報が、他サイトに使いまわされていればいるほど、不正アクセス被害を受けるリスクが高まるのは事実です。簡単なID・パスワードを使いまわしている方は、複雑な文字列への変更かつサービスごとの使い分けを推奨します。
・フィッシング詐欺等による、ログイン情報の搾取
Amazonや宅配業者等を騙るフィッシング詐欺の攻撃を受けることによって、ログイン情報が攻撃者に盗まれることもあります。
フィッシング詐欺等に関しては過去記事でも取り上げています。(過去記事はコチラ↓)
【パスワードリスト攻撃を受けた実際の事件】
ASCII.jpではパスワードリスト攻撃の実際の事件を挙げています。
「ビックカメラ」や「楽天」のポイントを不正利用(2014年)
2016年秋、家電量販店「ビックカメラ」や大手通販サイト「楽天」の会員情報が漏洩し、ポイントが不正利用されたことが発覚しました。原因はパスワードリスト攻撃によるもので被害総額は約200万円にも上りました。この事件は犯人が逮捕されたことでメディアでも大きく報道され、パスワードリスト攻撃の認知度が一気に広まるきっかけとなりました。
docomoのオンラインストアで1000件ものiPhoneXが不正購入(2018年)
2018年夏、docomoのオンラインストアがパスワードリスト攻撃を受けて1800件のアカウントに侵入され、当時iPhoneシリーズの中でも最新の機種であった「iPhone X」が約1000件も不正購入されてしまうという事件がおきました。犯人は、カード情報の入力せずにログインするだけで購入できてしまうという利便性を巧みに悪用しました。
スマホ決済サービス「7pay」が不正利用でサービス終了(2019年)
セブン&アイ・ホールディングスが運営するスマホ決済サービス「7pay」は、2020年7月のサービス開始直後から数千万回にわたる不正ログインの攻撃をされてしまい、ユーザーの電子マネーが不正利用されるなど、最終的な被害総額は4000万円にもなり、わずか2ヶ月でサービス終了に追い込まれてしまいました。
JR東日本の「えきねっと」に不正ログイン(2020年)
2020年3月、JR東日本が運営するオンライン上で切符が購入できる「えきねっと」の3729人のアカウントに不正ログインが行なわれ、氏名、住所、電話番号、生年月日、メールアドレス、クレジットカード情報の一部等が流出した可能性があると発表しました。これはフィッシング攻撃やマルウェア等で得た個人情報を他の目的で再利用したリスト型攻撃によるものです。
総合転職情報サイト「エン転職」が不正ログインで25万人分のWeb履歴書が漏洩(2023年)
2023年3月、エン・ジャパンが運営する総合転職情報サイト「エン転職」で、外部からの不正ログインによって25万人ものWeb履歴書が漏洩しました。原因は、外部から第三者が何らかの手法を使って不正にIDとパスワードを取得し、様々なサイトにログインを試みるリスト型アカウントハッキングによるものでした。
https://ascii.jp/elem/000/004/214/4214585/
【パスワードリスト攻撃に有効な対策】
・多要素認証を活用する
多要素認証とは、ID ・ログイン以外に、
・顔認証や指紋認証などの「生体情報」
・スマートフォンなど本人しか所持していないものに送られるメール・SMSを活用する「所持情報」
などといった “複数の情報” を組み合わせて、認証を行う方法です。
6桁の認証コードを入力する等の ”ワンタイムパスワード” も多要素認証と言えます。
Microsoft 365では、個人用Microsoftアカウントでも多要素認証を設定できるそうなので、気になる方はコチラのサイトを確認してみてください。↓
・休眠アカウントを廃止する
現在使用がなく放置されているサービスやアプリのアカウントは削除しましょう。使わないから……といって放置したままにしていると、攻撃を受けた際にアカウント乗っ取りや情報漏洩といったリスクがあります。
・長く複雑なパスワードを使用する
自分の誕生日や「password」「123456」といった簡単なパスワードは厳禁です。英字、数字、記号の10文字以上の組み合わせであるとセキュリティレベルは一段と向上します。攻撃者の解読しづらいパスワードを設定することで、不正ログインが防止に繋がります。
よく使われるパスワードや強固なパスワードを作成方法などは、過去記事でも取り上げています。(過去記事はコチラ↓)
-------------------------------------------
パスワードの使い回しは誰しもがついついやってしまいがちのことですが、パスワードリスト攻撃のリスクを考えると対策を行って損はありません。
パスワードリスト攻撃では、ユーザーの多くが行ってしまう「複数のサイトで同じID・パスワードを使い回す」という特性を利用して、不正アクセス等の攻撃を行います。パスワードの使い回しをしている方は、クレジットカード情報を登録しているサービスのパスワードをまず複雑なパスワードを変えてみるなど、出来ることから一つずつ変えていきましょう。
参考・出典: ASCII.jp
LANSCORP
docomo business
★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
⇒ 専用ページはこちら
★-------------------------------------------★