パスワードリスト型攻撃の脅威とその対策
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」3月14日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・リスト型攻撃への対策、「reCAPTCHA」とは
・使いまわしがちなパスワード、管理方法はどうとるべきか?
今回の解説ニュース
大量のリスト型攻撃によって不正ログインが発生したことについて発表されています。リスト型攻撃の対策や、パスワードの適切な管理方法について説明します。
今回のインシデントは、管理画面の異常に気付き、調査を開始したところ、ディスク使用量が100%に到達していたことが判明しました。原因として、膨大な回数のパスワードリスト攻撃を受けた可能性が挙げられています。具体的には、日本国内の2,000以上のIPアドレスから分散攻撃の形跡があり、その攻撃回数は約600万回に及んでおり、推計2,099ユーザーで不正ログインが成功したと発表されています。
パスワードリスト攻撃とも呼ばれているリスト型攻撃とは、攻撃者が何らかの方法で入手したIDとパスワードの組み合わせをリスト化して不正ログインに使用するサイバー攻撃です。実際に使われているIDとパスワードの組み合わせを使うことにより、その他の攻撃より成功率が高い攻撃とされています。
対策として、大量アクセスを自動的に遮断できるシステムを導入することで、botによるパスワードリスト攻撃を遮断しています。また、不正ログインと見做し得る攻撃対象5,774件について、利用者IDに紐づくパスワードの強制リセットを実施し、利用者にも連絡を行っています。既に、管轄の警察署に相談し捜査依頼が受理されており、その他監督省庁や専門機関への報告も完了しています。再発防止策として、セキュリティを専門とする第三者機関に事態の解析を依頼しており、報告結果を受けて抜本的かつ恒久的な対策を決定しているということです。
リスト型攻撃への対策、「reCAPTCHA」とは
ログイン画面などへの大量アクセスを自動的に遮断するシステムを事前に導入することはできますが、すべてのリスト型攻撃に対応できるわけではありません。
今回のインシデントでは、リスト型攻撃の対策としてGoogleが提供するreCAPTCHAが使われています。reCAPTCHAとは、利用者が人間でありプログラムではないことを確かめる仕組みであるCAPTCHAと、そのデータを再利用していくための仕組みです。Googleがバージョン3まで開発を進めており、よりシンプルで簡単に、人間かプログラムかの判定を行っています。
導入方法はとても簡単です。GoogleのサイトでreCAPTCHAを取得し、適用したいWebサイトにコードを埋め込むだけです。reCAPTCHAが埋め込まれたフォームに利用者がアクセスすると、Googleのサーバに確認のアクセスが発生し、利用者の行動に関する情報から、人間ではない可能性が考えられる場合、再認証や再入力を求めたりするなどして、プログラムによるアクセスを拒否することができます。過去のreCAPTCHAでは、プログラムが読めない文字画像を表示して入力させることで確認していましたが、人間でも読み取ることが難しくなるほど複雑化してしまったため、現在は機械学習による行動スコアによって判定する仕組みが採用されています。
ただし、reCAPTCHAでもすべてのリスト型攻撃に対応できるわけではありません。実際に確認されたリスト型攻撃として、ページを迂回しながら十分な間隔を経て、IDとパスワードの組み合わせが試行される事例が存在しています。人間の行動を再現したリスト型攻撃が行われた場合、reCAPTCHAの行動スコアの閾値によっては、未然に防ぐことが難しくなる場合があるということです。
その他のトピック
使いまわしがちなパスワード、管理方法はどうとるべきか?(全文はこちら)