Security Report

リスト型アカウントハッキング

初めに

昨今、国内大手ポータルサイトや会員制Webサイトに対する不正アクセス事案が多発している。事案の多くは、何らかの手段により他社のID・パスワードを入手した第三社が、これらのID・パスワードをリストのように用いて様々なサイトにログインを試みる、「リスト型アカウントハッキング攻撃」によるものとみられている。


2014年6月以降、日本のネットサービスを狙った「リスト型アカウントハッキング」が相次いで発生している。直近3週間ほどでドワンゴとミクシィに対するログイン試行回数は延べ800万件弱、その内実際にログインされた件数は50万件を超えている。今後、ほかのサービスにも被害が広がる恐れがあり、注目度を上げている攻撃である。

企業名 発表日 試行回数 不正ログイン数
LINE 2014年6月21日 非公表 303
ドワンゴ 2014年6月13日 約220万 約22万
ミクシィ 2014年6月17日 約430万 約26万
はてな 2014年6月20日 約160万 2398
サイバーエージェント 2014年6月23日 約230万 3万8280

現在、インターネットバンキングやフリーメールサービス、SNSなどのインターネットを用いたサービスが広く普及している。サービス利用に当たって、多くの人が多数のサイトに自らのアカウントを所有するようになり、Webサイトは個人情報やクレジットカード番号などを含めた、多様な情報を保有するようになった。リスト型攻撃によるものとみられる不正アクセスが増加している背景には、Webサイトに、ID・パスワードでログインすることで、容易に情報を引き出すことが出来るようになったことが考えられる。


リスト型攻撃から情報を守るためには、利用者において自身のID・パスワードの管理に際して対策を実施する必要があるのは、いうまでもない。しかし、サービス提供者として講じられる対策の一例を紹介する。

リスト型アカウントハッキングとは

「リスト型アカウントハッキング」とは、他社のWebサービスなどから流出したアカウント(ユーザIDとパスワード)のリストを使って、別のWebサービスに対して不正ログインを試みる攻撃のことである。

ユーザー側が、同一のパスワードを、複数のWebサービスで使いまわす利用者が多いという傾向を利用した攻撃手法で、Webサイトの脆弱性を利用するといった方法で事前に入手したパスワードリストを用い、様々なWebサービスでログインの試行を繰り返し、ログインが成功したサイトからユーザーの個人情報などを窃取しようとする。

特定のIPアドレスから、数万回から数百回に渡って不正なログインが施行される。ただし、一つのIDに対するログイン試行は、1~2回であることがほとんどなので、正規ユーザーのログイン思考と区別することが難しい。このため、このため、Webサービス提供者側ではリスト型アカウントハッキングを防ぎきれないのが現状である。

対策

ID・パスワードの使いまわしに関する注意喚起の実施

前述のとおり、リスト型アカウントハッキングは、IDとパスワードをリスト化して結びつけて、不正ログインを試行する。そのため、サービス提供者側においてIDを設定し、利用者側ではパスワードのみ設定するような形態にすることも、被害を減らす対策として有効となる。なお、その際においても、メールアドレスは攻撃者がID・パスワードのリストとともに把握している場合が多い。そのため、IDにメールアドレスを使用するのは推奨されない。

多要素認証の導入

また、認証の際に、複数の種類の認証方式を組み合わせた『多要素認証』を行うことで、攻撃者はID・パスワードの対をもとに攻撃を行うため、新たな認証要素を追加することでリストを無効化することが出来る。しかし、事前に登録した質問事項への回答についても、利用者が使いまわしをしている可能性が考えられるため、定期的な変更が必要となる。

特定のIPアドレスからの通信の遮断

リスト型攻撃においては、ある程度の認証エラーが発生するが、攻撃の中には一つのIDに対するパスワードの試行回数が1、2回にとどまるものもあり、必ずしも一つのIDにおける認証エラーのしきい値を超えない攻撃も存在する。

一人の利用者が一つのサービスにおいて、大量のアカウントを保有し、それらのアカウントに対して、短時間で大量のログインを行うことは一般的に想定されない。そのため、同一の通信元からの大量のアクセスが発生した場合、リスト型攻撃が行われていると判断し、その通信元からの通信を遮断する方法が対策として考えられる。

しかし、攻撃を行ってきた特定のIPアドレスのみを遮断するだけでは、攻撃者がネットワーク接続を切り替えて別のIPアドレスからの攻撃を再開することも考慮しなければならない。

まとめ

リスト型アカウントハッキングとは、サービス利用者が複数のサービスにて、同じパスワードを使いまわすケースが多いことに着目した攻撃である。

リスト型アカウントハッキングを防ぐためには、サービス提供者はもちろんのこと、利用者側もセキュリティ意識を持ち、パスワードの管理を徹底することが望まれる。