セキュリティ対策をするうえで、被害が起きる原因を知ることは大切です。本記事では、パスワードリスト攻撃について解説しています。
またパスワードリスト攻撃とよく似たものには、下記3点があります。
- ブルートフォースアタック
- 辞書攻撃
- リバースブルートフォース攻撃
これらはすべてパスワードを解析し侵入するサイバー攻撃です。
本記事を読むことで、パスワードの解析をどのようにしておこなっているのかがわかります。同時にパスワードリスト攻撃がきっかけで起こる事例から対策方法までも理解できるようになるでしょう。
ぜひ最後まで読んで、パスワードリスト攻撃から自社を守るためにはどのような対策をしたらいいのか参考にしてください。
パスワードリスト攻撃とは?
パスワードリスト攻撃とは、他人のIDやパスワードを使って不正にログインする攻撃方法です。別名「アカウントリスト攻撃」や「リスト型アカウントハッキング」とも呼びます。
インターネットで提供されるサービスは、現在IDとパスワードを使っておこなうものがほとんどです。
このような理由から、何らかの方法で入手したリストを使ってログインを試みる悪質な方法が後を絶ちません。パスワードリストは、おもに以下のような方法で不正に入手されます。
- セキュリティの低いWebサイトから入手する
- 闇サイト(ダークウェブ)で取引
実在するパスワードを使うため、ログインする試行回数は少なく済みます。このため、通常のログインとの区別がつきにくく防ぎにくいのが現状です。
また「同じID・パスワード」を複数サイトで使いまわすユーザーが多いのも被害の拡大につながっています。いったん情報が洩れると多くのサイトで同様の被害にあいやすくなります。
パスワードリスト攻撃とよく似た用語の違い
パスワードリスト攻撃に似た攻撃方法3つについて解説します。
- パスワードリスト攻撃とブルートフォースアタックの違い
- パスワードリスト攻撃と辞書攻撃の違い
- パスワード攻撃とリバースブルートフォース攻撃の違い
(1)パスワードリスト攻撃とブルートフォースアタックの違い
不正に入手したユーザーのログイン情報を利用するのがパスワードリスト攻撃と呼ばれる方法です。対してブルートフォースアタックは「総当たり攻撃」とも呼ばれ、ログインできそうな情報を考えられるすべての方法から試します。
ブルートフォースアタックは、時間をかけてあらゆるログイン方法を試すため、回数制限のあるものには使えません。対してパスワードリスト攻撃は、すでに入手した情報に基づいてログインを試みます。
この2つを比較すると、より驚異のある攻撃はブルートフォースアタックよりもパスワードリスト攻撃のほうといえるでしょう。
(2)パスワードリスト攻撃と辞書攻撃の違い
ブルートフォースアタックと似た方法で辞書攻撃というものがあります。辞書攻撃は別名「ディクショナリアタック」とも呼ばれます。
使用できる文字全てを組み合わせて試していくのが、ブルートフォースアタックの特徴です。対して辞書攻撃は、辞書に登録されている単語や人物名など、言葉として成り立つ組み合わせでログインを試みる攻撃となります。
候補になりやすい固有名詞の一例は、下記のようなものです。
- 辞書の見出し
- 地名
- 人名
- 社名
- 製品名
人は、意味がない文字列を記憶しにくい特性を持ちます。このため、パスワードにも意味のある言葉と関連付ける傾向があり、辞書攻撃の対象として狙われやすくなります。
ブルートフォースアタックよりも、辞書攻撃は効率よく試行できるため不正アクセスで試されやすい攻撃です。
(3)パスワードリスト攻撃とリバースブルートフォースの違い
リバースブルートフォース攻撃とは、ひとつのパスワードを固定し続けたまま、IDを総当たりで変えながら不正ログインを試みる方法です。
IDとパスワードすべてを試すブルートフォースとは違い、ID部分のみを試すためリバース(逆)ブルートフォースと呼ばれます。特定のアカウントに固執せず、とにかく突破したい場合に使われる攻撃方法です。
単純なパスワードをひとつ設定し、IDのみを徹底的に組み合わせてログインしようとします。また闇サイトで入手したパスワードを利用して、IDのみ総当たり攻撃で試すケースもあります。
webサイトで採用されている方式の多くは、パスワードを間違えたときにかかるアカウントロック機能です。リバースブルートフォース攻撃は、ロックがかからないIDの部分を利用して試すため、アカウントロック機能では防げません。
パスワードリスト攻撃同様、アカウントロックがかかりにくい方法で試みるリバースブルートフォース攻撃も危険性の高い攻撃といえます。
不正アクセスは増加し続けている
日本の不正アクセスは増加の一途をたどっています。
法務省発表の「令和3年版 犯罪白書」掲載の「不正アクセス行為 認知件数の推移(図2)」によると、2010年1,885件から2020年は2,806件へと増加しました。
引用:不正アクセス行為 認知件数の推移(令和3年版 犯罪白書)
またIPAが公表する「情報セキュリティ10大脅威2022」でも、企業が受ける被害の上位3つを不正アクセス関連が占めています。
| 1位:ランサムウエアによる被害 2位:標的攻撃による機密情報の窃取 3位:サプライチェーンの弱点を悪用した攻撃 |
不正アクセスの攻撃バリエーションは多様化しています。パスワードリスト攻撃もまた、不正アクセスの手段のひとつです。
どのような場合に被害が出るのか知っておくことは、防ぐための有効な手段となります。
パスワードリスト攻撃を受けた場合の被害
パスワードリスト攻撃を受けた場合の被害を5つ解説します。
- なりすましによる不正アクセス
- 情報漏えい
- Webサイトの改ざん
- システムへの不正アクセス
- 更なる攻撃への踏み台にされる
(1)なりすましによる不正アクセス
従業員のアドレスやパスワードなど個人情報が漏えいすると、様々なサイバー攻撃の標的にさらされやすくなります。
- 重要なデータをロックして閲覧不可にし金銭を要求する
- なりすましによる社内サーバーへの不正ログイン
- フィッシングサイトへの誘導がつくられる
サイトの脆弱性を突かれて、企業のホームページを書き換えられることも現実に起こっています。対応を誤ると顧客の信頼を失うきっかけともなるため、注意しなければなりません。
ニュースに取り上げられ、訴訟問題へと発展することも近年では珍しくなくなりました。
あわせて読みたい
不正アクセスについては、「不正なアクセスとは?現在の発生状況や原因、4つの対策まで解説」で詳しく解説しています。あわせてご覧ください。
(2)情報漏えい
とある大手家具メーカーで、13万以上のアカウントが不正ログインを受け、情報が漏えいした事案が発生しました。この時に利用されたのがパスワードリスト攻撃だったと公表されています。
パスワードリスト攻撃は通常の認証失敗と区別するのが難しく、気づいたときには大きな被害になっていることも珍しくありません。紹介した家具メーカーでは、13万人以上の個人情報が漏えいする大きな被害にあいました。
上記の事例では「クレジットカードの被害はなかった」としています。しかしパスワードを使いまわしたままでは、そのうち重要な情報が漏えいする可能性はもっと高くなるでしょう。
(3)Webサイトの改ざん
管理者以外の第三者が、不正にサイトを書き換えてしまう行為が「Webサイトの改ざん」です。パスワードリスト攻撃を利用して管理者アカウントが盗まれると、正規の方法でWebサイトの改ざんが起こります。
ログインは正規の方法で行われるため気が付きにくく、被害が発覚したときにはすでに改ざんされた後だったということもあるでしょう。Webサイトを改ざんされる被害には、下記のようなものが想定されます。
- ウイルスに感染するソフトをダウンロードするよう仕向ける
- 自動的にほかの不正アクセスへ誘導する
改ざんされた事実に気が付いた場合は直ちにサイトを切り離し、しかるべき対応を取りましょう。
(4)システムへの不正アクセス
アクセス権限を持たない第三者が企業のサーバーや情報システムへ侵入することを不正アクセスといい、被害には下記のようなものがあります。
- サーバーやシステムが停止させられ、身代金を要求される
- 情報漏えいの被害にあう
- ほかの企業へ攻撃するための踏み台にされる
不正アクセスは、企業の機密情報を悪用するだけにとどまらない危険性を秘めています。
また、なりすましやメールアカウントを利用した他社へのサイバー攻撃の温床になることもあります。そうなると企業の社会的な信頼は失われ、大きな損失を受けることにもなりかねないでしょう。
(5)更なる攻撃の踏み台にされる
不正アクセスをきっかけに、中小企業のシステムが新たな攻撃拠点の踏み台になるケースも増えています。過去には大手菓子メーカーや自動車メーカーのサプライチェーンで被害が起き、流通がストップする事態に陥りました。
近年はサプライチェーンで、セキュリティの脆弱性を突きやすい中小企業がサイバー攻撃の対象として多くねらわれています。大手企業の調達・製造・販売・消費にかかわる部分には、中小企業が多く関係しています。
なかにはセキュリティ対策が十分でない企業もあります。こうした企業が悪用され、大企業へサイバー攻撃を仕掛ける踏み台とされるケースが増えてきました。
パスワードリスト攻撃への具体的な対策
パスワード攻撃に対する具体的な対策3つについて解説します。
- 安全なパスワードを設定する
- アクセス制御システムを導入する
- SSO+多要素認証を導入する
(1)安全なパスワードを設定する
総務省は「他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいもの」と安全なパスワードについて定義しています。
名前や英単語から推測されやすいものは、パスワードリスト攻撃や辞書攻撃から推測されやすいため、避けるのが望ましいでしょう。
また下記のような点にも注意が必要です。
- パスワードをほかのサイトに使いまわさない
- パスワードの安全な保管方法を考える
先の章で上述したようにパスワードを使いまわしていると、利用している他のサービスにまで被害が広がる恐れがあります。また覚えにくいため、メモ書きで保存する場合は盗み見されず紛失しにくいような保管方法も検討しましょう。
あわせて読みたい
安全なパスワードの作成方法については、「安全なパスワード作成の5つのポイント、間違った3つの習慣まで解説」で詳しく解説しています。あわせてご覧ください。
(2)アクセス制御システムを導入する
アクセス制御システムを導入してセキュリティを強化することも、パスワードリスト攻撃のような不正アクセスに効果があります。アクセス制御のおもな働きは以下の通りです。
- サイバー攻撃を防ぐ
- 海外IPからのアクセスを受け付けない
- 必要に応じて端末認証を追加する
アクセス制御をおこなうと社内サーバーやデータベースに接続する権限の管理ができます。接続する権限のないものが試みると、アクセスを拒否し制限する仕組みです。
またアクセス制御には、接続の履歴を残す機能もあるため、不正アクセスの検知やチェックにも役立ちます。
あわせて読みたい
アクセス制御については、「アクセス制御とは?基本機能から実装の目的、導入時に選ぶポイントまで解説」で詳しく解説しています。あわせてご覧ください。
(3)SSO+多要素認証を導入する300
複数のツールに別々のパスワードを設定する運用は現実的に難しいと、言わざるを得ないでしょう。
複雑なパスワード管理はSSO(シングルサインオン)を利用することで、利便性を高めながら安全性の確保もできます。
SSOを活用すると、ユーザーは一つのログイン情報を覚えるだけでよくなります。さらに多要素認証を取り入れれば、不正アクセスによる被害も受けにくくなるでしょう。SSOを活用すると下記のような3つのメリットが得られます。
- 社員のツール管理が便利になる
- アカウント管理の手間が不要になる
- セキュリティの強化につながる
メタップスクラウドなら上記のような複雑化するパスワード管理を、楽に安全におこなえます。
あわせて読みたい
SSO(シングルサインオン)については、「シングルサインオン(SSO)とは?基本やメリット・デメリットをわかりやすく解説」で詳しく解説しています。あわせてご覧ください。
まとめ
パスワードリスト攻撃は、不正入手したIDとパスワードを使ってログインを試みます。正規にログインする方法と変わらないため、異常に気付きにくいのが厄介な攻撃です。
1度侵入を許してしまうと、情報漏えいをはじめとしたさまざまな被害を受けやすくなります。
近年は、セキュリティの弱い中小企業を狙ったものも増えています。大手企業と関連した事業を展開している場合は、サプライチェーンを狙った事例も報告されています。
煩雑化しやすいパスワード管理を一つのパスワードで管理できるSSOや多要素認証は効果の高い対策です。この記事を参考にパスワード管理について、再度見直ししてみてはいかがでしょうか。
\今すぐ無駄をなくしませんか?/
メタップスクラウド編集部
「メタクラブログ」は、株式会社メタップスが運営する公式メディアです。当メディアでは、企業のセキュリティ対策や業務効率化に役立つコンテンツの情報を発信しております。