日商 Assist Biz

更新

企業を襲うサイバー脅威 パスワード解読②

パスワード解読(リスト型攻撃)

今月は「パスワード解読」の2回目です。今回は、近年急増している「リスト型攻撃」について取り上げます。

「リスト型攻撃(リスト型アカウントハッキングなどとも呼ばれる)」とは、別のWebサイトなどから入手したアカウント情報(ユーザーIDとパスワードなど)のリストを使う攻撃手法です。リスト型攻撃で用いられるアカウント情報は、あるどこかのサービスなどから不正に入手したリストです。サイバー攻撃で窃取したり、サイト運営者が事故で漏えいさせたりしたアカウント情報を悪用し、不正にログインを試していくものです。

この攻撃は、前回で取り上げた総当たり攻撃と比べ、ユーザーが実際に使っているユーザーIDとパスワードの組み合わせに突き当たりやすく、不正ログインが成功しやすいのです。また、辞書攻撃の対策としてユーザー固有の情報などを使わず推測をしにくくしていても、使い回しをしている場合はこのような攻撃により被害に遭ってしまう可能性があります。

この攻撃が行われるようになったのは、アカウント情報を複数のサイトで使い回ししているユーザーが多数いるためです。「アカウント情報(ユーザーIDとパスワード)の使い回し」とは、あるインターネットサービスで使っているログインIDとパスワードの組み合わせを他のサービスでも使うことです。

パスワードは、人間の記憶に依存する方法です。人間の能力にはもちろん限界があり、何十通りものパスワードを考え、記憶することは困難です。そのため、どうしても「パスワードの使い回し」をしてしまいがちです。

これらの攻撃への対策としては、前回に説明したものと併せて、できる限り「アカウント情報の使い回し」を避けることです。特に厳重に管理すべきサービスや、たとえばインターネットバンキングやショッピングサイト、業務で使っているシステムなどでは使い回しをしないようにしましょう。パスワード管理ツールを使い、記憶するパスワードを最小限にして効率的に管理するという方法もあります。

また、パスワード以外の認証方法が提供されている場合は、それをできるだけ使うようにしましょう。たとえば、利用する端末(PCやスマートフォンなど)による認証や、二つの段階で認証を行う二段階認証、二つ以上の情報による認証「二要素認証(多要素認証)」など、面倒がらず、積極的に使うようにしましょう。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

企業を襲うサイバー脅威 盗聴

長谷川長一

今月は、ネットワーク通信での「盗聴」について取り上げます。「盗聴」とは、PCやスマートフォンなどでのネットワーク通信に第三者が割り込み、そ...

前の記事

企業を襲うサイバー脅威 パスワード解読①

長谷川長一

今月から2回にわたり、「パスワード解読」について取り上げます。パスワード解読の攻撃にはいくつか種類がありますが、今回は、「総当たり攻撃」と...

関連記事

企業を襲うサイバー脅威 企業内部の人的脅威③「ヒューマンエラー」

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置...

企業を襲うサイバー脅威 企業内部の人的脅威②「内部不正」

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不...

企業を襲うサイバー脅威 企業内部の人的脅威①「内部不正」

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず...