JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。
今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。
6回目は、GMOメディア 技術推進室 シニアエンジニア 色川 崇之氏による寄稿です。
【特集】STOP!パスワード使い回し!
ヤフー、楽天らネット企業10社が語る"リスク"と"対策"
2013年にリスト型攻撃を受けたGMOメディア
GMOメディアでは2013年8月にパスワードリスト攻撃を受けました。攻撃を検知する仕組みはもともと構築していましたが、実際に攻撃を受けたケースはこれが初めてでした。その上、「ヤプログ」と「ポイントタウン」が同時に攻撃されて対応に手間取り、1万件を超えるアカウントが不正にログインされてしまいました。
その後も不定期で攻撃を受け続けていますが、この最初の経験から"対策機能"や"対応手順"を整備したことで、大きな被害を出すことなく、収束させることができています。今回は、GMOメディアが受けた攻撃の詳細や対策、攻撃内容の変遷などを紹介することで、対策の難しさやサービス利用者が注意すべき点についてお伝えできればと思います。
まだ見ぬパスワードリスト攻撃の脅威
GMOメディアがパスワードリスト攻撃への対策に取り組み始めた時期は2013年5月です。その4月頃から「他社サービスから流出したと思われるID・パスワードが使用された」とする不正ログイン被害を受けた企業が急増しており、対岸の火事では済まない状況になってきたことが理由です。
それ以前の不正ログイン対策としては、「一定回数以上にパスワードを入力ミスした場合、そのアカウントをロックアウトする」という機能がありました。ただ、このケースでは他社から流出したアカウント情報が使われた場合に、同じIDで何度もログインを試みることはあまり考えられません。これでは攻撃を防げないことは明らかで、何らかの対策が急務となりました。
とはいえ、ログインページにIDとパスワードを送信してくるだけのアクセスを、どのように利用者なのか、攻撃者なのかと見分けるのでしょうか。
「二段階認証」や「リスクベース認証」が有効という話は当然出てくるわけですが、少なからず利便性が低下してしまう二段階認証を全ての利用者に強制することは現実的でありませんし、リスクベース認証にしても、既に攻撃を受けているのかも分からない状況で、「通常のログイン環境」をのんびり収集しているわけにもいきません。
他社の事例などから、「攻撃されればログイン試行数が増える」「自社から漏洩したアカウント情報でなければ大半のログインは失敗する」ということは分かっていたため、まずは「ログイン状況を可視化」することから始めました。
可視化ツールで見た攻撃の状況
可視化を行ったことで、ログを見ただけでは分かりにくかったログインの状況、推移が直感的に把握できるようになりました。以下の画像は、可視化ツールに表示された実際のグラフです。
|
1日のログイン状況 |
|
1カ月のログイン状況 |
緑色のゲージはログイン成功を、茶色のゲージはログイン失敗を表しています。このグラフは平時のものですが、ログインに失敗している割合はほとんど変わらないことが分かります。攻撃を受けた場合には以下のようなグラフへと変化します。
|
攻撃を受けた時のグラフ |
これは2013年10月に「ゲソてん」がパスワードリスト攻撃を受けたときのものですが、攻撃が始まった途端にログイン失敗数が急増しています。グラフでは分かりにくいのですが、よく見るとログイン成功数も増えており、一部のアカウントは不正ログインされてしまっていることが分かります。
なお、リスト型攻撃のうち、ログインに失敗しているアクセスの7割~8割は「IDが存在しない」ことが原因で、それを根拠に「自社から漏洩したものではないアカウント情報のリストが使われた」という判断を行っています。
リスト型攻撃対策の難しさ
「不正アクセス」というと海外からアクセスされるようなイメージをお持ちの方も多いと思うのですが、パスワードリスト攻撃は日本の大手プロバイダ経由でアクセスしてくるケースが多いため、一般の利用者と区別がつきません。
リスト型攻撃が増えてきた頃は1つのIPアドレスからの攻撃が多く、同一IPアドレスから短時間にいくつものアカウントにログイン試行している場合には自動的にログインをブロックする仕組みを作っていました。しかし、しばらくするとIPアドレスをコロコロ変更するようになり、酷い時には接続元ISP単位でアクセス遮断せざるを得ないこともありました。
また、ログイン失敗率で攻撃を検知していることも分かっているようで、攻撃者が事前に登録したアカウントへのログインも混ぜることで失敗率を下げようとしているようなアクセスも見られました。
最近は攻撃に使うアカウントリストの精度も上がっているようで、ログイン失敗率が低くなってきており、検知もより難しくなってきています。
サービス利用者に気をつけて頂きたいこと
不正ログインされてしまった場合にはパスワードを強制変更してメールでご連絡しています。しかし、メールアカウントのパスワードも一緒にしている利用者が少なくなく、攻撃者にそのメールを削除された上、パスワード再設定機能を使ってパスワードを変更されてしまった、という事例も発生しています。
多くのサービスにとってメールは本人確認の唯一の手段となっており、そこを攻撃者に奪取されてしまうと我々としてはなす術がありません。ですので、最低でもメールなどの重要なアカウントのパスワードは他と共有せず、できるだけ複雑なパスワードを設定していただければ思います。
ただこれは、他のIDでパスワードを使い回して良いというわけでは決してありません。パスワードの安全な管理は利用者の責務ですので、「利用中のサービスに不正ログインされるとどのような被害が発生するのか」「サービスにどのようなセキュリティ機能が備わっているのか」など、この機会に考えてみていただければ幸いです。
著者プロフィール
![]()
色川 崇之(いろかわ たかゆき)
WebアプリケーションエンジニアとしてGMOメディアに入社後、2012年新設の技術推進室に異動。同室ではセキュリティとフロントエンドの2つの技術推進を担当している。
GMOメディア 技術推進室 シニアエンジニア
セキュリティ面では「自社サービスの脆弱性診断」や「セキュリティ機能の設計」「開発者の教育」「インシデント対応」などを行っている。
一方のフロントエンド面では「技術調査」や「開発支援」「開発プロセス改善」「開発者の教育」などを行っている。
