今年に入ってから、国内でサービスを提供しているWebサイトが相次いで「不正ログイン」の被害に遭っている。被害に遭ったサイトの中には、大手のキャリアやポータルサイト、ECサイト、ゲーム会社のサイトなども含まれており、実際に被害に遭った企業から、被害の事実と「パスワードの変更」を求める告知を受けたユーザーも多いことだろう。
今回の一連の不正ログイン事件において、ほとんどのケースで共通しているのは「パスワードリスト攻撃」と呼ばれる攻撃手法が用いられている点だ。この手法は、従来の手法と比べてサイト側での対策に手間がかかる一方で、攻撃の成功率が高いという特性があるという。
現在猛威を振るっている「パスワードリスト攻撃」とは、具体的にどのようなものなのだろうか。また、この攻撃に対して、サイトの運営側で行える効果的な対策はあるのだろうか。SCSK、ITマネジメント事業部門 基盤インテグレーション事業本部 グローバルセキュリティソリューション部 サイバーセキュリティソリューション課の田中勇也氏、および同課 マネージャーの境 稔氏に話を聞いた。SCSKでは「SECURE YOUR SITE」のブランドで、企業がインターネット上でWebサイトを安全に展開するための一連のセキュリティソリューションを提供している。
プロフィール田中 勇也(TANAKA Yuya)
――SCSK ITマネジメント事業部門 基盤インテグレーション事業本部 グローバルセキュリティソリューション部 サイバーセキュリティソリューション課
![]()
ネットワークエンジニアとして、数多くの拠点間ネットワーク、社内LANの構築やネットワークセキュリティを設計した経験を持つ。現在はセキュリティエンジニアとして、主にWebアプリケーション、ネットワークの脆弱性診断を行い、低レイヤーから高レイヤーのセキュリティに携わる。境 稔(SAKAI Minoru)
――SCSK ITマネジメント事業部門 基盤インテグレーション事業本部 グローバルセキュリティソリューション部 サイバーセキュリティソリューション課 マネージャー
![]()
公認情報システムセキュリティプロフェッショナル(CISSP)。主にWebアプリケーション脆弱性診断、セキュリティトレーニング講師などに従事する。コミュニティサイトや、検索・ゲームポータルサイトなど、様々な大規模コンシューマ向けサービスのスタートアップに、開発/運用エンジニアとして参画。現実的に起こりうるリスクを前提に、情報の完全性・機密性のみではなく、可用性や効果・コストを考慮した対策の提言を行っている。
資料のご提供BIG-IP ASMによるパスワードリスト攻撃対策ソリューション
![]()
本稿内でも引用しておりますSCSK株式会社の「BIG-IP ASMによるパスワードリスト攻撃対策ソリューション」PDF資料を全ページ無料でご提供中です。「パスワードリスト攻撃」に対してより具体的な対策を打っていきたいと思っている方は、この機会にせひご覧ください。
成功率が高く、対策も面倒な「パスワードリスト攻撃」
――「パスワードリスト攻撃」とは、どういった攻撃手法なのでしょうか。
|
|
|
SCSK、ITマネジメント事業部門 基盤インテグレーション事業本部 グローバルセキュリティソリューション部 サイバーセキュリティソリューション課の田中勇也氏 |
田中氏 : パスワードリスト攻撃とは、その名の通り、攻撃者が何らかの方法で入手した大量の「IDとパスワード」の組み合わせリストを使い、Webサイトへの不正なログインを試みるという攻撃手法です。
IDに対して、考えられるパスワードのすべての組み合わせを試す「ブルートフォース攻撃」などと比べて、不正アクセスの成功率が大幅に高いのが特徴になります。例えば、ブルートフォースの成功率は0.001%以下という低いものですが、パスワードリスト攻撃では、おおむね0.1%以上の確率で成功しています。実際に被害を受けたあるサイトでは、1%以上の確率で攻撃が成功してしまったという報告もあります。
通信面から見てみると、多くの場合、同一あるいは限定された複数のIPアドレスから、短時間のうちに大量のログイン失敗が発生するという特色があります。これらのことから、単一のPCもしくはボットネット上にある複数PCからの攻撃が行われていることが分かります。
|
|
主な不正ログイン事件(⇒資料の全ページダウンロードはこちら) |
――このパスワードリストを、攻撃者はどのような手段で入手しているのでしょうか。
境氏 : リストの入手経路は様々ですが、概して「非常に入手しやすい」というのが問題になります。アンダーグラウンドサイトなどでリストデータ自体が売買、場合によっては無料で公開されています。極端な例では、一般的な検索サイトで特徴的なキーワードを使ってサーチすれば、すぐに入手できてしまうようなものもあります。そのような形で入手したリストは、多くの場合、パスワードがハッシュ化されていたりもしますが、暗号化の強度が弱ければ、解析可能です。
――最近、この攻撃手法による不正ログイン事件が増加しているように見受けられます。
田中氏 : 理由のひとつは、この攻撃手法のコストが極端に低いということです。
1人のユーザーが同じIDとパスワードを他サイトでも使い回すケースも多くあります。そのような場合、一度リストを入手できてしまうと、攻撃の成功率が上がってしまうのです。
|
|
|
SCSK、ITマネジメント事業部門 基盤インテグレーション事業本部 グローバルセキュリティソリューション部 サイバーセキュリティソリューション課 マネージャーの境稔氏 |
さらに、一度攻撃が成功すると、そこで入手されたリストがまた広く出回ることになります。やっかいなのは「被害」を受けたサイトから流出したデータが、次は「攻撃」側が使うリストの一部として使われ、どんどん拡大していってしまう点です。
境氏 : 一般的なWebアプリケーション用のデバッグツールと、パスワードリストさえあれば、特殊なツールも専門的な知識も必要なく、簡単に攻撃が実行できてしまいます。 攻撃のコストがあまりにも低いため、この手法による一連の攻撃が、明確に金銭的な利益を狙ったものなのか、愉快犯的なものなのかは判断がつかないケースも多いですね。ただし、ポイントサイトや、ポイントが付くコマースサイトなどが被害を受けた事例では、実際にポイントを利用されるという形で金銭的に実害を被っているケースもあります。
また、パスワードリストの精度を高めるためにログイン試行を行い、そのリストを高値で売りさばくという行為も考えられます。アンダーグラウンドサイトでは、精度の高いリストは高値でやり取りされていますから。
