リスト型攻撃は、あるインターネットサービスから盗まれたIDとパスワードのリストを使い、ほかのサービスに不正ログインする、という攻撃だ。このため、IDとパスワードを複数のサービスで使い回さない、というのが最大の防御策となる。
すべてのサービスでIDとパスワードを完璧に異なるものにする必要はなく、個人情報入力がないサービスで、不正ログインされても被害が最小限というなら使い回してもいいし、パスワードもある規則に従って少し変えるだけでも被害は抑えられる。
とはいえ、頻繁にIDとパスワードを入力させられると、手間の方が勝って、つい同じIDとパスワードを使い回してしまう人も多いだろう。では、不正ログインされた場合、どういった被害が起こりえるのだろうか。不正ログイン自体はリスト型攻撃以外でも起こりえるので、原因はともかく、その結果がどういったものかを紹介したい。
今年に入って発生した不正ログインの被害
直近の不正ログイン事件で話題になったのがLINE。LINEは、もともと設定したスマートフォン1台だけでしかログインできないため、不正ログイン被害は発生しづらい。ただ、それではあまりに利便性が低いため、機種変更やPCからのログインも可能なように、IDとパスワード方式を導入したが、これが狙われたとみられる。
IDとパスワードでLINEにログインされると、もちろんLINEでの会話内容などは見られてしまうが、問題になっているのは、本人になりすまして「友だち」にメッセージが送られてしまう点だ。
昨今の事件では、コンビニエンスストアで購入できる電子マネーカードWebMoneyの購入を求めるメッセージが送られており、金銭が狙われている。WebMoneyギフトカードには16ケタのプリペイド番号が記載されており、それを登録することで電子マネーとして利用できるため、なりすまし犯は番号を写真に撮って送るよう要求するようで、金銭奪取の手法として利用されている。
ドワンゴのniconicoでは、同社サービスの支払いに使えるニコニコポイントが不正利用される被害が発生。23アカウントで17万3,713円の損害が出ているという(6月18日の発表時点)。これもリスト型攻撃によるものとみられている。