リスト型攻撃とは?不正ログイン対策とパスワード設定時の注意点
今年8月23日、三井住友カードはスマートフォンアプリ「Vpass」に対して、「リスト型攻撃」による不正ログインがあったことを発表しました。今、「リスト型攻撃」による不正ログイン被害がネットの各業界で急増しており、対策が必要だと言われています。「リスト型攻撃」とは何か、不正ログインを防ぐポイントは何かを緊急報告します。
INDEX
リスト型攻撃とは、どこかで入手したID・パスワードで不正にログインする攻撃手法
「リスト型攻撃」とは、悪意を持つ第三者が、何らかの手法により入手しリスト化したID・パスワードを利用して、ウェブサイトなどに不正ログインを試みる攻撃です。ユーザーが複数のサイトで、同じID・パスワードの組み合わせを使いまわす行動習慣を狙ったもので、「パスワードリスト攻撃」や「アカウントリスト攻撃」「リスト型アカウントハッキング」「リストベースアタック」などとも呼ばれています。
不正ログインを狙った攻撃には、古くから「総当たり攻撃」と呼ばれている手法があります。これはユーザーのアカウント・パスワードを解読するために考えられるすべてのパターンを試す方法で、「力任せ攻撃」または「ブルートフォースアタック」と呼ばれます。
「リスト型攻撃」はこれとは異なり、実際に使用されているIDとパスワードがセットになっているので、不正ログインが成功する確率が高いと言えます。
また、「総当たり攻撃」は莫大な数のログイン試行回数を繰り返すため、セキュリティ検出が比較的容易でした。ですが、「リスト型攻撃」の場合、ID単位のログイン試行回数はとても少なく、正規のログイン方法を試みるため、正規アクセスとの判別が非常に困難なのが特徴です。そのため「総当たり攻撃」より不正ログインが成功しやすいと言えます。
不正ログインを防ぐにはパスワードの「使い回しをしない」が基本
「リスト型攻撃」による不正ログインが成功すると、攻撃者はそのユーザーアカウントを乗っ取ったり、本人になりかわってさまざまな行動をすることができます。そのような被害に遭わないよう、しっかり対策をしておきましょう。
「リスト型攻撃」による被害を防ぐには、同じID・パスワードを使い回さないことが基本です。
「Vpass」のID・パスワードも、ほかのサイトでの併用は絶対にやめましょう。
現在、数個のID・パスワードをさまざまなサイトで使い回している方は、登録しているサイトすべてのパスワードをバラバラの異なるパスワードに再登録することをおすすめします。最初は大変ですが、格段に安全性が高まりますし、一度バラバラなパスワードにしておけば次から手間はかかりません。IDも変更することが可能な場合は、変更しておくと安心です。
パスワードを設定・変更する場合はここに注意!
パスワードを設定・変更する際には、安全性を高める工夫も大切です。パスワードは桁数を増やすことや文字列や数字、記号などを組み合わせることで、より安全に利用することができます。内閣サイバーセキュリティーセンターの情報セキュリティハンドブックによると、「パスワード設定には、英大文字小文字+数字+記号の組み合わせで最低10桁以上が安全圏」として推奨されており、長ければ長いほど安全性が高まります。
逆に以下のようなパスワードは安全性が低いと言えます。絶対に使わないようにしましょう。
- 氏名、地名、生年月日、電話番号など他人に推測されやすい文字列・数字
- キーボードに並んだ文字列など(QWERTYなど)
- 人名・地名ほか、よく使われる英単語
- ほかのサイトと同じパスワード
現在、「Vpass」のID・パスワードをほかのサイトでも使用している方は、すぐにパスワードを変更することが大切です。
「Vpass」のID・パスワードの変更は下記にて行うことができます。
不正ログインを防ぐために、「認証機能」を積極的に利用して安全性をアップ
ウェブサイトやサービスによっては「2段階認証」や「生体認証」などでログインを行う方法を提供しているところがあります。これらの認証方法を設定することで、ID・パスワードよりも安全にログインを行うことができます。提供されている場合は、積極的に利用しましょう。
2段階認証
Webサービスなどにログインする際、ID・パスワードのほかに、メールやSMS(ショートメッセージサービス)で送られてくる「認証コード」や「ワンタイムパスワード」の入力を追加するなどして、利用者認証を2回に分けて行う手法です。
「認証コード」や「ワンタイムパスワード」は一度しか使うことができないものなので、一般的な固定パスワードに比べてセキュリティが高まります。仮にログインIDと 1つ目のパスワードを不正利用されても、第三者がサイトなどへログインすることはできないので、より安全に利用できます。
生体認証
顔の形状や指紋、眼球の虹彩など、人によって異なる身体的な特徴を使った認証方法です。パスワードを入力する必要がないので、第三者に読み取られることがなく、そもそも複雑なパスワードを設定する必要もなくなります。
上記のような認証機能を導入していないウェブサイトやサービスもまだまだ多く、その場合は1つ1つ個別のID・パスワードを作ることが必要です。増え続けるID・パスワード自分で管理するのが大変な場合は、「パスワード管理ソフト」などを利用して安全に管理するのも一案です。
「パスワード管理ソフト」には有償・無償さまざまあるので、ネットなどでよく比較して取り入れましょう。
不正ログインされたかも!と思った時の「対処法」
三井住友カードでは不正使用検知システムにより、24時間365日、不審なカード利用状況などがないかモニタリングしています。万が一、第三者による悪用が判明した際は、直ちに利用を停止して、該当するお客さまにご連絡しています。
しかし、不正ログインの手法は日々変化しており、不測の事態が起こらないとは限りません。以下のようなことがあった場合は不正ログインが疑われますので、速やかにカード会社へご連絡をお願いいたします。
- サイトにログインしたところ、覚えがない日時にログインしていた記録がある
- 何もしていないのに「会員情報変更完了」「新規申込ありがとうございます」などという通知が届いた
- サイトに登録していた情報が、知らない間に変更されている
- カードの利用明細に覚えのない取引の記録がある
カードの悪用被害にあってしまった場合、お金はカード会員保障制度で戻ってきたとしても、不正利用されたカードはもう使えません。新たにカードを作り直し、カードで行っていた公共料金の支払いなどもすべて登録をやり直さなければならなくなります。そのようなことにならないよう、大切なID・パスワードはしっかり守りましょう。
この記事が気に入ったら
いいね!
Share
