会員制サービスが不正ログインされ、ポイントが不正交換される被害が相次いでいる。ニュースの見出しをみて、セキュリティ対策の甘いサービスが狙われていると思っている人は多いだろう。しかし、コトはそう単純ではない。これらは利用者側の自衛が足りないために被害を招いているとも言えるのだ。
「リスト攻撃」という言葉をご存じだろうか。最近被害が報告される不正ログインのほとんどは、実はこの手法によるものだ。従来、不正ログインの手法といえば、ID・パスワードについて手当たり次第に文字列を生成して試みる「ブルートフォース」、あるいはよく使われそうな言葉のデータベースから試す「辞書攻撃」が一般的だった。
ところが、2013年春頃から突如、どこかのサービスから漏えいしたと推定されるIDとパスワードを用い、他のサービスに不正ログインを試みるという新たな攻撃手法が登場した。この手法は、攻撃者が正規のID・パスワードのリストを持っていると思われることから「アカウントリスト攻撃」や「パスワードリスト攻撃」と名付けられ、今は「リスト攻撃」と略されている。
ネットを利用するユーザーの中には、同一のID・パスワードで複数のサービスを利用している人も多いだろう。人間が覚えられる組み合わせには限りがあるため、できれば共有のID・パスワードを利用したいというユーザーの気持ちは理解できる。しかし、先述した「リスト攻撃」が繰り返されている今、たった一つのID・パスワードの組み合わせを利用し続けることは、危機管理に対する意識が低い、被害にあったとしても自業自得と、言わざるを得ない状況だ。
サービス事業者側も、IPアドレス(ネット上の住所を示す番号)が同一のままで、ID・パスワードを入力するログイン作業が繰りかされたのを検知した場合、それ以降、ログイン作業自体を受け付けなくするよう設定するなど、対策を強化しているところもある。一方で、攻撃者がそうした監視をすり抜けるのは難しくないという。聞くところでは、サービス業者が設定している値を下回る領域値を狙い、ログインを試みる頻度をわざと落として実行するケースもあるようだ。不正なポイント交換で金銭的な対価価値を得ることが目的だから、攻撃者も巧妙にせめてくる頭を使う。
だからこそ、最終的にはユーザー側で対策するしかないといえるのだ。
相次ぐ被害に対し、情報セキュリティに関する取り組みを行う機関であるJPCERTコーディネーションセンターとIPA(情報処理推進機構)は共同で、2014年9月17日に「STOP!! パスワード使い回し!!」と題した呼びかけを行った。リスト攻撃による被害が後を絶たないことから、ネットの利用者に向けて複数のサービスにおいて同じパスワードを使い回さないように求めている。
さらに呼びかけでは、ユーザー側の対策の一つとして、サービスごとに設定したパスワードの一覧表を「紙のメモ」「電子ファイル(パスワード付き)」「パスワード管理ツール」などで保持することを勧めている。このうち最も簡単に誰でもできる方法は「紙のメモ」、すなわちパスワードを自分の手帳などにメモして管理することだろう。
頻発しているリスト攻撃の元となるID・パスワード情報の多くはネット上で盗まれたものだと推測される。だとしたら、ネットから切り離してしまえば、悪意を持つ存在が「紙のメモ」を直接見る可能性はまずないと考えられる。さらに呼びかけではIDとパスワードを別々に記載すること、また、紙そのものの紛失・盗難に備えて第三者が見てもわからないよう記載しておくことも求めている。
言われてみれば当たり前のことではあるが、ハイテクな犯罪者に対抗するには、時にはこうしたローテクに頼るのも有効なのだ。
【関連リンク】
JPCERT/CC http://www.jpcert.or.jp/pr/2014/pr140004.html
IPA http://www.ipa.go.jp/about/press/20140917.html
