サービス提供側は防御が困難
これは、リストの精度が高くなってきている可能性がある、ということを意味する。この「精度」とは、つまり「複数のサービスで同じIDとパスワードを使い回している」ユーザーのリストが集まってきている、ということになる。このリスト型攻撃が効果的なのは、こうした使い回しユーザーがいるからで、複数のサービスに同じIDとパスワードを設定していると、ほかのサービスから漏れたリストで簡単にログインできてしまう。
|
リストの例。それぞれ同じユーザーだとして、「ユーザー4」がIDとパスワードを使い回している。このサービスAとBのセットを組み合わせたようなリストが攻撃に使われている |
一般的に、リスト型攻撃を防御するのはサービス側にとっては困難な面が多いとされている。ただし、リスト型攻撃はIDとパスワードの使い回しをしなければ防げるため、ユーザー側がサービスごとにIDとパスワードを変更して使うのが最も有効だ。多少手間はかかるが、特に金銭が関係するようなサービスに関しては、IDとパスワードを適切に設定すべきだ。
とはいえ、スマートフォンユーザーにとっては、すべてのサービスのIDとパスワードを記憶して使う、というのはかなり難しい。PCに比べて入力が面倒だし、スマートフォンユーザーの間で、使い回しが増えているのではないかという懸念もある。アプリを活用するなどして、なるべく使い回しをしない工夫をすることで、Webサービスをより安全に使いこなせるので、是非ともIDとパスワードを適切に設定して、適切に管理して欲しい。
(記事提供: AndroWire編集部)
