パスワードリスト攻撃とは、別のサービスやシステムから盗んだID・パスワードを用いて不正にログインを試みる攻撃手法です。
何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いて、様々なサイトに不正なログインを試みます。
そのため、複雑なパスワードを使っていても、同じパスワードを複数のサイトで使っていると、不正に利用される危険性が高まります。
例えば、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正ログインするというものです。
サイトA・・・ログイン ID=abc パスワード=xyz12345
サイトB・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
サイトC・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
なお、下記の記事によると、パスワードリスト攻撃の種類は4つに分類できるそうです。
萩原栄幸の情報セキュリティ相談室:
パスワードリスト攻撃につながる4つの原因と、ほんとに怖い2つのケース
- ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1412/12/news046.html
(1) プライベートで利用するWebサイトで作成したパスワードを、別のプライベートのWebサイトでも利用するケース
(2) プライベートで利用するWebサイトで作成したパスワードを、勤務先のパスワードでも利用するケース
(3) 上記(2) とは逆で、勤務先から与えられた(もしくは生成された)パスワードをプライベートで利用するケース
(4) 企業内のAシステムのパスワードをBシステムでも利用するケース
良く聞くパスワードリスト攻撃のイメージは(1)ですが、現場で本当に怖いのは(2)もしくは(3)だそうです。
私は、プライベートで利用するパスワードと、勤務先で利用するパスワードは、別なものを利用しましたが、これは明確に分けるべきですね。
■
■ パスワードリスト攻撃による不正ログイン防止
■
IPA(独立行政法人情報処理推進機構)およびJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)は、パスワードリスト攻撃への対策として次の内容を紹介しています。
STOP!! パスワード使い回し!!
パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
https://www.jpcert.or.jp/pr/2014/pr140004.html
(1) パスワードの使い回しを避けるための適切な管理方法
a. 紙のメモ
IDとパスワードを記載したリストを紙のメモに保持します。IDとパスワードを別々の紙に分けて管理するとより安全です。
b. 電子ファイル(パスワード付き)
IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持します。パスワードは表計算ソフトの機能でファイルそのものにかける方法と、zipなどの圧縮ファイルにかける方法とがあります。。
c. パスワード管理ツール
パスワード管理のための信頼のおける専用ツール(ソフトウェア)を使用し、IDとパスワードを保存します。
(2) 不正なログインに気付く、または防止するための機能
a. ログイン通知
通常とは異なるIPアドレスや国などからログインが行われた場合に、メール等で通知を受けることで、不審なアクセスに気付くことが可能です。
b. ログイン履歴
ログインした時刻、アクセス元(IPアドレス、国等)、URL等の履歴に自分がログインしていない時間のログイン履歴や、見覚えのない地域からのログイン履歴が無いか確認し、不審なアクセスの有無を確認できます。
c. 認証コード
IDとパスワードに加え、予め登録しておいた携帯電話等に送信された認証コードを使用してログインを行う、二段階認証という仕組みです。
d. ワンタイムパスワード(OTP)
ログイン時に一定時間だけ有効なワンタイムパスワードを生成する機器やソフトウェアを併用し、ログインに複数の認証情報を用いることで、不正ログインを防ぐことが可能です。
■
■ この機会に2段階認証を活用しよう!
■
なお、この機会に、
①「同じID、パスワードを複数のサービスで使わない」という対策以外に、
②「不正アクセスを防ぐ”2段階認証”」を活用することも
大事になってきました。
2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。なお、2段階認証を一度設定すれば、次からは入力が不要なので、面倒なのは最初だけです。
こういう私も、実は、最近まで、 ”2段階認証”面倒だな? と考えていましたが、毎日活用しているGoogleとDropboxは、重い腰を上げて、ようやく2段階認証にしました。
次のブログに、GoogleとDropboxの”2段階認証”の方法をまとめていますので、参考にして下さい。
Googleの”2段階認証”について
http://lifesecurityup.blogspot.com/2014/09/500google2.html
Dropboxの”2段階認証”について
http://lifesecurityup.blogspot.com/2014/10/dropboxid.html
