「パスワードリスト攻撃とはどんなものか?」
「被害に遭ったらどうなってしまうのか?」
「攻撃を受けないためにどんな対策を取ればいいのか?」
「パスワードリスト攻撃」という言葉をなんとなく知っていても、それがどんなものなのか説明するほどの知識はない、という方は多いのではないでしょうか。
パスワードリスト攻撃とは、Web上のサービスに登録者以外の人間が不正に侵入する、サイバー攻撃の一種。
セキュリティの低いWebサイトから入手したIDとパスワードのリストを使ってサイト内の顧客情報を盗むというこの手法は、Webサービスを展開している企業の人間であれば、知っておくべきものだと言えるでしょう。
本記事では、パスワードリスト攻撃とは何かをわかりやすく説明したうえで、被害が発生してしまう原因や対策といった基礎知識を幅広く解説。
読んだその日から周囲の人に話せるような、パスワードリスト攻撃についての具体的な知識が身につけられます。
この記事でわかること
- パスワードリスト攻撃とは
- パスワードリスト攻撃されるとどうなるか
- なぜパスワードリスト攻撃による被害が発生するのか
- パスワードリスト攻撃の対策
- パスワードリスト攻撃の被害事例
- パスワードリスト攻撃について対策すべき企業とは
1.パスワードリスト攻撃とは
パスワードリスト攻撃とは、インターネット上のサービスに、登録者以外の人間が不正ログインするための攻撃手法のひとつ。
「セキュリティが脆弱なサイトをハッキングして不特定多数のIDとパスワードを入手する」というのが、パスワードリスト攻撃の基本的な手口です。
入手したIDとパスワードをもとに、攻撃者はよりユーザーの多い大手企業のWebサイトへと不正アクセスします。
日本では2013年頃から被害が急増し、それまで主流だった「あらゆる数字とアルファベットの組み合わせを手当り次第入力してログインを試みる」といった不正ログインの手口(ブルートフォース攻撃)よりも成功率が高いことから、現在でも被害を受ける企業が後を絶ちません。
複数のWebサービスで同じIDとパスワードを使い回している人ほど、パスワードリスト攻撃の被害に遭う可能性が高いと言われています。
2.パスワードリスト攻撃されるとどうなるか
実際にパスワードリスト攻撃の被害に遭うと、どのようなことが起こるのでしょうか。
ここからは、パスワードリスト攻撃によって受ける具体的な被害を
- Webサービスの利用者
- Webサービスを提供する企業
の両面から解説します。
2-1.サービス利用者が受ける被害
Webサービスがパスワードリスト攻撃によって不正ログインされた際、そのサービスの利用者には、以下のような被害が及ぶ可能性があります。
実際にパスワードリスト攻撃の被害に遭うと、どのようなことが起こるのでしょうか。
ここからは、パスワードリスト攻撃によって受ける具体的な被害を
- Webサービスの利用者
- Webサービスを提供する企業
の両面から解説します。
2-1.サービス利用者が受ける被害
Webサービスがパスワードリスト攻撃によって不正ログインされた際、そのサービスの利用者には、以下のような被害が及ぶ可能性があります。
パスワードリスト攻撃によってサービス利用者が受ける被害
- ECサイト内のポイントの不正使用
→サイト内の商品を不正に購入されるなど
- SNSアカウントの乗っ取り
→第三者が被害者になりすまし、不正に投稿を行うなど
- 個人情報の流出
→閲覧されるだけのケースもあれば、勝手に編集・アカウント削除される危険も
被害が少ない場合は、第三者に氏名やサービスの利用履歴等の個人情報を閲覧されたものの、その情報が特に悪用されずに済むというパターンもあります。
一方で、ECサイトからポイントや電子マネーを使って勝手に商品を購入される等の、金銭的な損害を受けてしまうケースも少なくありません。
2-2.サービスを提供する企業が受ける被害
パスワードリスト攻撃を受けた際、被害に遭うのはユーザーですが、企業側も大きなダメージを受ける可能性があります。
具体的な被害は、主に以下の2つ。
パスワードリスト攻撃によってサービス提供側の企業が受ける被害
- 企業秘密の漏洩
→管理画面に不正ログインされ、製造ノウハウ・顧客名簿・マニュアル等を閲覧されるなど
- サービスや事業の停止・廃止
→信頼を失ってユーザーが離れ、事業が立ち行かなくなる恐れも
パスワードリスト攻撃は、セキュリティの強固なWebサイトであっても被害に遭う可能性があるため、企業側に責任がないという場合がほとんどです。
しかし、不正ログインを防げなかったことで「安全性の低いサービス」といったイメージがつきやすくなり、最悪の場合サービスや事業の廃止に追い込まれるケースも少なくありません。
3.なぜパスワードリスト攻撃による被害が発生するのか
パスワードリスト攻撃の被害が発生してしまう原因として代表的なものは、以下の2つ。
- ユーザーによるパスワードの使い回し
- 通常のログインと見分けがつきにくい
それぞれ詳しく解説していきます。
3-1.ユーザーによるパスワードの使い回しが根本的な原因
Webサイトがパスワードリスト攻撃の被害に遭う根本的な原因は、ユーザーが複数のサービスで同じパスワードを使い回していることです。
これまで解説してきた通り、攻撃者はセキュリティの脆弱なWebサイトからIDとパスワードのリストを入手します。
このとき、ユーザー側がすべてのWebサービスで異なるパスワードを設定していれば、不正ログインされてしまう危険はありません。
IPA(独立行政法人情報処理推進機構)では、「複数のサービスで同一のパスワードを使わないように」との呼びかけを2014年から行っています。
しかし、トレンドマイクロ社が行った「パスワードの利用実態調査」では、2020年時点で「ユーザーの約8割が、複数のWebサービスで同一のパスワードの使い回しをしている」といった結果が出ています。
パスワードリスト攻撃が日本で発生するようになってから月日が経った現在でも被害が後を絶たないのは、こういった現状が大きな原因になっていると言えるでしょう。
3-2.通常のログインと見分けがつきにくい
通常のログインと不正ログインの見分けがつきにくいというのも、パスワードリスト攻撃が発生してしまう原因のひとつ。
これは、従来のサイバー攻撃と比べて、パスワードリスト攻撃が行うログインの試行回数が少ないためです。
| パスワードリスト攻撃 | 外部から入手したIDとパスワードのリストを元にログインを試行 →成功率が高く試行回数が少ないため、検出されにくい |
| ブルートフォース攻撃 | あらゆる数字やアルファベットを組み合わせ、手当たり次第にログインを試行 →試行回数の多さから「不審なアクセス」として検出されやすい |
| 辞書攻撃 | IDとパスワードに使われやすい単語を組み合わせ、手当たり次第にログインを試行 →試行回数の多さから「不審なアクセス」として検出されやすい |
サイバー攻撃を防ぐために、「同一のIPアドレスから大量のログインがあった」等の不審なアクセスを自動で検知してくれる「不正ログイン対策専用ツール」を導入する企業も少なくありません。
しかし、侵入の成功率が高いパスワードリスト攻撃は試行回数そのものが少ないため、ツールでは検出できずに侵入を許してしまうケースもあるのです。
4.パスワードリスト攻撃の対策
パスワードリスト攻撃の仕組みや原因がわかったところで、続いては対策法について解説します。
パスワードリスト攻撃を防ぐためには、次の2つの側面からの対策が必要です。
- サービス利用者側の対策
- サービス提供側の対策
それぞれ順番に確認していきましょう。
4-1.サービス利用者側の対策
サービス利用者側のパスワードリスト攻撃対策への第一歩は、「複数のWebサービスで同じパスワードを使い回さないこと」。
これを前提としたうえで、設定したパスワードを以下のような方法で保管することが重要です。
- パスワード付きのファイルに保存する
- パスワード管理ソフト(アプリ)を利用する
サービスごとに異なるパスワードを設定し、外部に漏れないようしっかりと保管することで、不正ログインの被害に遭うリスクを大幅に軽減できます。
ユーザー側でできるパスワードリスト攻撃対策
- 複数のWebサービスで同じパスワードを使い回さない
- パスワード付きのファイルに保存する
→WordファイルやExcelファイル、メモアプリ等に鍵をかけて保存
- パスワード管理ソフト(アプリ)を利用する
→強固なパスワードを自動生成・管理してくれる。スマホでも利用可能
4-2.サービス提供側の対策
Webサービスを提供する企業側にできるパスワードリスト対策には、以下のようなものがあります。
- ログイン機能を向上させる
- 不正アクセスを検知する対策ツールを活用する
IDとパスワードを入力するだけの通常のログイン方法では、パスワードリスト攻撃に遭うリスクがどうしても高くなります。
SMSを活用した「二段階認証」や目の虹彩で本人確認をする「生体認証」といったログイン方法を導入することで、本人以外の人物がログインしづらい環境を整えられます。
また、不正アクセスを自動で検知しブロックしてくれる「WAF(Web Application Firewall)」等の対策ツールを活用するのも、有効な方法です。
企業側でできるパスワードリスト攻撃対策
- ログイン機能を向上させる
→2段階認証・生体認証などの導入
- 不正アクセスを検知する対策ツールを活用する
→不正アクセスを自動で検知・ブロックする「WAF」などの導入
これらのシステムを導入するには、少なからずコストがかかります。
しかし必要な場所にしっかりとお金をかけ、「情報セキュリティ対策をちゃんとできている企業」としてユーザーから信頼してもらうことが、サービスの普及や繁栄の足がかりとなるのではないでしょうか。
パスワードリスト攻撃の対策についてもっと知りたい場合は、対策法についてより詳しく解説したこちらの記事をご覧ください。
5.パスワードリスト攻撃の被害事例
ここからは、パスワードリスト攻撃被害に遭った企業の有名な事例を3つ紹介します。
- 「ユニクロ・GUオンラインストア」の個人情報流出(2019年)
- 事例②スマホ決済サービス「7pay」の不正利用(2019年)
- 「ドコモオンラインショップ」の不正購入(2018年)
「実際にパスワードリスト攻撃の被害に遭った場合、どうなってしまうのか」をイメージしやすくなるので、ぜひ一つずつチェックしてくださいね。
5-1.事例①「ユニクロ・GUオンラインストア」の個人情報流出(2019年)
株式会社ファーストリテイリングが運営する通販サイト「ユニクロ」「GU」が、パスワードリスト攻撃によって何者かに侵入され、ユーザーの氏名・住所・クレジットカード情報の一部といった個人情報を閲覧された疑いのある事例です。
この記事のポイント
- 被害に遭ったアカウントは、46万件にものぼる
→登録者数の多さから、侵入された件数は国内最大級の規模
- ユーザーへの直接的な被害は報告されていない
→クレジットカード情報は、漏洩の疑いがあるのは一部のみであったため、金銭的な被害には及ばず。その他の個人情報も悪用された形跡はない
5-2.事例②スマホ決済サービス「7pay」の不正利用(2019年)
セブン&アイ・ホールディングスが提供していたスマホ決済サービス「7pay」にて、800人以上のアカウントが不正ログインによって乗っ取られ、電子マネーを不正利用されてしまった事例です。
この記事のポイント
- 最終的にはサービスを終了する事態に
→被害額は4,000万円にものぼり、サービス開始からわずか2ヶ月で終了という異例の事態
- ログイン方法に「二段階認証」を導入していなかった
→第三者が侵入しやすい環境だったことも、事件の一因だと考えられる
5-3.事例③「ドコモオンラインショップ」の不正購入(2018年)
株式会社NTTドコモが運営する通販サイト「ドコモオンラインストア」にて、パスワードリスト攻撃によって侵入された1,000件のアカウントが「iPhoneX」を不正購入されるという被害が発生。
この記事のポイント
- サイト内の一部の購入ルートが、不正利用の標的に
→サービスの一部が「IDとパスワードを入力してログインさえすれば、クレジットカード情報を入力しなくても商品が購入できる」という仕様になっており、この仕組が悪用されたものと考えられている
- ユーザーからの問い合わせで事件が発覚
→事前に不正アクセスの侵入を検知できず、ユーザーに金銭的被害が及んで初めて発覚したケース
これらの3つの事例から見てもわかるように、パスワードリスト攻撃は、様々な形で企業とユーザーに打撃を与えます。
より多くの事例を見たい場合は、10種類のパスワードリスト攻撃被害の事例を詳しく紹介したこちらの記事をご覧ください。
6.パスワードリスト攻撃に遭いやすい企業の特徴
パスワードリスト攻撃をはじめとするサイバー攻撃に遭いやすい企業の特徴には、以下のようなものがあります。
- 多くの顧客情報を預かる大手企業
- サイバー攻撃対策が不十分な中小企業
なぜ上記のような企業が攻撃を受けやすいのか、詳しく説明していきます。
6-1.多くの顧客情報を預かる大手企業
一般的に、パスワードリスト攻撃の被害に遭いやすいのは、サイトの登録者が多い大手企業が運営するWebサイトです。
盗める個人情報の数や不正利用できるポイントはサイトの規模が大きくなるほど多くなるため、大手企業の大型サイトが標的にされやすくなります。
一方で、本記事で紹介した事例では、企業側に責任がないケースがほとんどです。
しっかり対策していても完全には防げないというのが、パスワードリスト攻撃被害の現状なのです。
6-2.サイバー攻撃対策が不十分な中小企業
大手企業に次いでパスワードリスト攻撃を受ける恐れがあるのは、サイバー攻撃対策が不十分な中小企業
です。
ニュースで大々的に取り上げられるのは、大手企業が狙われたケースがほとんどであるため、「うちは小さい会社だからサイバー攻撃のターゲットにならない」と考える中小企業も少なくありません。
しかし、こういった「うちは大丈夫」という油断からくるWebサイトの脆弱性が狙われ、中小企業が不正アクセスの被害に遭うというケースもあります。
実際に、一般社団法人 日本損害保険協会が2019年に実施した「サイバーリスクへの意識調査」では、中小企業の約20%がサイバー攻撃の被害を受けた経験があるにもかかわらず、全体の24%が「現時点でサイバー攻撃への対策を行っていない」と回答しています。
サイバー攻撃への対策を行っていなかった中小企業が実際に被害にあった場合、責任を問われたり、ユーザーからの信頼を失ってしまう可能性は十分にあります。
大手企業よりも被害を受ける確率は低いとはいえ、中小企業こそパスワードリスト攻撃への対策をきちんと行うべきなのです。
6-3.中小企業がパスワードリスト攻撃を受けないためにできること
中小企業がパスワードリスト攻撃による被害を防ぐためには、本記事4章で紹介した「パスワードリスト攻撃の対策」を実践するのが最も効果的です。
具体的な対策法とやるべきことは、以下の表の通り。
| 対策方 | 具体的なやるべきこと |
|---|---|
| ログイン機能を向上させる | 専門業者と契約し、二段階認証等のセキュリティの高いログインシステムを導入する →万が一攻撃者の入力したIDとパスワードが一致してしまっても、侵入を防ぐことができる |
| 不正アクセス対策ツールを活用する | 専門業者と契約し、自動で不正アクセスを検知・ブロックしてくれる「WAF」等のツールを導入する →同じIPアドレスから大量のアクセスがあるなど、不審な動きがあった際に自動でログイン画面の外に飛ばすことができる |
より詳しく知りたい場合は、パスワードリスト攻撃の対策法についてまとめたこちらの記事をご覧ください。
7.サイバー攻撃の対策はプロに相談するのがおすすめ
パスワードリスト攻撃に限らず、サイバー攻撃への対策は、その道のプロフェッショナルに相談するところから始めるのがおすすめです。
サイバー攻撃対策に力を入れている大手企業でも、被害を完全に防ぐことが難しいパスワードリスト攻撃。情報セキュリティの専門部署を持たない企業の場合、社内の人間だけで対策を練って実践するのは難しいと言えるでしょう。
最新のサイバー攻撃事情に詳しいプロに相談し、適切なサポートを受けることが重要です。
不正アクセス対策ツールの研究開発と販売を行うCapyは、「どうやってサイトのセキュリティを強化すればいいかわからない!」という方の心強い味方です。
パズルのピースをはめてロボットからの不正ログインを防ぐ認証システム「パズルキャプチャ」など、あなたの企業やWebサービスにもっともマッチしたサイバー攻撃への対策法をご提案します。
パスワードリスト攻撃に関する基本的な対策法のご相談から、製品についての問い合わせまで、お気軽にご連絡ください。
8.まとめ
最後に、本記事の内容のまとめです。
■パスワードリスト攻撃とは
Web上のサービスに登録者以外の人間が不正に侵入するサイバー攻撃の一種
セキュリティの低いWebサイトから入手したIDとパスワードのリストを使ってサイト内の顧客情報を盗む、という手法
■パスワードリスト攻撃されるとどうなるか
ユーザーが受ける被害:個人情報の流出・ポイントの不正使用・SNSアカウントの乗っ取り
企業が受ける被害:企業秘密の漏洩・サービスや事業の停止
■なぜパスワードリスト攻撃による被害が発生するのか
- ユーザーによるパスワードの使い回し
- 通常のログインと見分けがつきにくい
■パスワードリスト攻撃の対策
【ユーザー側でできる対策】
- 複数のWebサービスで同じパスワードを使い回さない
- パスワード付きのファイルに保存する
- パスワード管理ソフト(アプリ)を利用する
【企業側でできる対策】
- ログイン機能を向上させる
- 不正アクセスを検知する対策ツールを活用する
→コストはかかるが、パスワードリスト対策をしっかり取ることで、「情報セキュリティ対策をちゃんとできている企業」としてユーザーから信頼してもらえる
■パスワードリスト攻撃の被害事例
- 「ユニクロ・GUオンラインストア」の個人情報流出(2019年)
- スマホ決済サービス「7pay」の不正利用(2019年)
- 「ドコモオンラインショップ」の不正購入(2018年)
→パスワードリスト攻撃は、様々な形で企業とユーザーに打撃を与える
■パスワード攻撃について対策すべき企業とは
- 多くの顧客情報を預かる大手企業
- サイバー攻撃対策が不十分な中小企業
→パスワードリスト攻撃を完全に防ぐことは難しいが、ユーザーからの信頼を失わないために対策はしっかりと行うべき
本記事の内容が、パスワードリスト攻撃の危険性を知るきっかけとなり、あなたの情報セキュリティに対する意識が高まれば幸いです。
