読者です 読者をやめる 読者になる 読者になる

インターネット安全活用 一灯塾

最新のIT技術を正確に把握することは困難ですが、地道にコツコツ、IT技術に関する情報を発信します

別なサービスのID・パスワードで不正アクセスするパスワードリスト攻撃と、その対策とは

パスワードリスト攻撃とは、別のサービスやシステムから盗んだID・パスワードを用いて不正にログインを試みる攻撃手法です。

何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いて、様々なサイトに不正なログインを試みます。

そのため、複雑なパスワードを使っていても、同じパスワードを複数のサイトで使っていると、不正に利用される危険性が高まります。


例えば、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正ログインするというものです。

  サイトA・・・ログイン ID=abc パスワード=xyz12345

  サイトB・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ

  サイトC・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ


なお、下記の記事によると、パスワードリスト攻撃の種類は4つに分類できるそうです。

 萩原栄幸の情報セキュリティ相談室:
 パスワードリスト攻撃につながる4つの原因と、ほんとに怖い2つのケース
 - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1412/12/news046.html



  (1) プライベートで利用するWebサイトで作成したパスワードを、別のプライベートのWebサイトでも利用するケース

 (2) プライベートで利用するWebサイトで作成したパスワードを、勤務先のパスワードでも利用するケース

 (3) 上記(2) とは逆で、勤務先から与えられた(もしくは生成された)パスワードをプライベートで利用するケース

 (4) 企業内のAシステムのパスワードをBシステムでも利用するケース

良く聞くパスワードリスト攻撃のイメージは(1)ですが、現場で本当に怖いのは(2)もしくは(3)だそうです。

私は、プライベートで利用するパスワードと、勤務先で利用するパスワードは、別なものを利用しましたが、これは明確に分けるべきですね。




■ パスワードリスト攻撃による不正ログイン防止


IPA独立行政法人情報処理推進機構)およびJPCERT/CC一般社団法人 JPCERTコーディネーションセンター)は、パスワードリスト攻撃への対策として次の内容を紹介しています。

 STOP!! パスワード使い回し!!
 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
 https://www.jpcert.or.jp/pr/2014/pr140004.html



(1) パスワードの使い回しを避けるための適切な管理方法
a. 紙のメモ
IDとパスワードを記載したリストを紙のメモに保持します。IDとパスワードを別々の紙に分けて管理するとより安全です。

b. 電子ファイル(パスワード付き)
IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持します。パスワードは表計算ソフトの機能でファイルそのものにかける方法と、zipなどの圧縮ファイルにかける方法とがあります。。

c. パスワード管理ツール
パスワード管理のための信頼のおける専用ツール(ソフトウェア)を使用し、IDとパスワードを保存します。


(2) 不正なログインに気付く、または防止するための機能

a. ログイン通知
通常とは異なるIPアドレスや国などからログインが行われた場合に、メール等で通知を受けることで、不審なアクセスに気付くことが可能です。

b. ログイン履歴
ログインした時刻、アクセス元(IPアドレス、国等)、URL等の履歴に自分がログインしていない時間のログイン履歴や、見覚えのない地域からのログイン履歴が無いか確認し、不審なアクセスの有無を確認できます。

c. 認証コード
IDとパスワードに加え、予め登録しておいた携帯電話等に送信された認証コードを使用してログインを行う、二段階認証という仕組みです。

d. ワンタイムパスワード(OTP)
ログイン時に一定時間だけ有効なワンタイムパスワードを生成する機器やソフトウェアを併用し、ログインに複数の認証情報を用いることで、不正ログインを防ぐことが可能です。



■ この機会に2段階認証を活用しよう!


なお、この機会に、

 ①「同じID、パスワードを複数のサービスで使わない」という対策以外に、
 ②「不正アクセスを防ぐ”2段階認証”」を活用することも

大事になってきました。

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。なお、2段階認証を一度設定すれば、次からは入力が不要なので、面倒なのは最初だけです。

こういう私も、実は、最近まで、 ”2段階認証”面倒だな? と考えていましたが、毎日活用しているGoogleDropboxは、重い腰を上げて、ようやく2段階認証にしました。


次のブログに、GoogleDropboxの”2段階認証”の方法をまとめていますので、参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html