リスト型アカウントハッキングとは、どのようなサイバー攻撃なのでしょうか。この記事ではリスト型アカウントハッキングの手口について紹介した後、この攻撃が発生する原因や過去の被害例などを紹介。また予防策と発生時の対策について解説します。
リスト型アカウントハッキングとは
リスト型アカウントハッキングとは、情報漏洩などで不正に入手したIDとパスワードを使って、さまざまなWebサイトでログインを試みるサイバー攻撃の一種です。
ログインに成功したサイトから個人情報を盗み出し、盗んだクレジットカード番号を悪用するなどの犯罪に使用します。
1、原因はユーザーのID・パスワードの使いまわし
リスト型アカウントハッキングにより情報を盗まれる大きな原因は、ユーザー自身によるID・パスワードの使いまわしです。
会員登録が必要なWebサービスが増加する中、認証情報の管理が煩わしいため、ID・パスワードを使いまわす人は少なくありません。リスト型アカウントハッキングは、ID・パスワードを使いまわす人が標的になります。
2、仕事とプライベートのID・パスワード使いまわしも注意
プライベートで利用しているSNSなどから漏れたID・パスワードが仕事面で悪用されると、被害は個人に留まらず会社などにも及びます。
ID・パスワードの使いまわしを仕事とプライベートで行なうようなことは絶対に止めましょう。
リスト型アカウントハッキングの被害一覧
リスト型アカウントハッキングの被害例として、以下の3例を紹介します。
| 被害例 | 被害の経緯 | 被害概要 |
|---|---|---|
| スマホ決済 | サービス開始直後に不正利用の報告 11日後に外部IDログイン停止 1か月後にサービスは意思決定 サービス開始から3か月後にサービス停止 |
不正チャージや不正利用 被害者数 数百人 被害金額 数千万円 |
| 企業サイト | 顧客管理システムへのアクセス件数が異常に増加する事象を確認 その日を含め6日間で不正ログイン判明 不正ログインの送信元特定・アクセス遮断 不正ログインIDはパスワードリセット 顧客個別にメール送信 |
盗まれた個人情報(氏名、住所、電話番号、性別、生年月日、メールアドレス、クレジットカード情報の一部) |
| 通販サイト | 顧客から連絡(身に覚えのない登録情報変更通知メール) 17日もの期間不正アクセス確認 不正ログインの送信元特定・アクセス遮断 不正ログインIDはパスワードリセット 顧客個別にメール送信 |
不正ログイン 盗まれた個人情報(氏名、住所、電話番号、メールアドレス、性別、生年月日、購入履歴、クレジットカード情報の一部、自身や家族の身体サイズ) |
それぞれの被害例について、個別に解説します。
1、あるスマホ決済のリスト型アカウントハッキング
あるスマホ決済は、サービス開始の翌日に不正使用の報告が出ました。
運営会社が調査の結果、リスト型アカウントハッキングが発生したと発表。11日後に外部IDのログインを停止しましたが、被害者数は数百人、被害総額は数千万円規模の被害が出ています。
2、企業のリスト型アカウントハッキング
企業では、顧客管理システムへのアクセス件数が異常に増加する事象を確認。その結果、約3.8万件ものIDに対する不正アクセスが判明しました。
対応として、運営会社は不正アクセスの送信元を特定して通信を遮断、監視体制の強化と、不正アクセスを受けたIDはパスワードをリセット、という対策を実施しました。
3、通販サイトのリスト型アカウントハッキング
通販サイトにて発生したリスト型アカウントハッキングが発覚したきっかけは、ユーザーからの問い合わせでした。
「身に覚えのない登録変更メールがきた」という問い合わせを受け調査した結果、約46万件ものIDに対する不正アクセスが発覚しています。
対応内容は2番目に紹介した企業と同じく、送信元を特定して通信を遮断・監視体制の強化・パスワードリセットです。
企業でできるリスト型アカウントハッキングの事前対策9つ
ユーザー側で取れる対策としてはIDとパスワードの使いまわしをしないことが重要です。
その一方で、企業側でもリスト型アカウントハッキングを予防する対策はいくつかあるため、まとめて紹介します。
1、推測しにくい認証方式と組み合わせた二段階認証・多要素認証の導入
ID・パスワードが万が一流出した場合でも、簡単にログインを突破されないための仕組みとして二段階認証や多要素認証の導入があります。
ワンタイムパスワードのように、パスワードを推測しにくい認証方式も取り入れた二段階認証や、コピーしにくい生体認証も組み合わせた多要素認証はその一例です。
これらの認証方式を通常の認証方式と組み合わせることで、不正ログイン者は認証を突破しにくくなります。
2、従業員へID・パスワード使い回しに関する注意喚起
従業員へのセキュリティ教育の一環として、ID・パスワードの使いまわしをしないように注意喚起をしましょう。定期的に注意喚起を行なうことで、従業員のセキュリティ意識を高める努力を地道に続けることが重要です。
3、パスワードに有効期間の設定
パスワードに有効期間を設定して、強制的に、定期的なパスワードの変更を促すこともおすすめの施策です。IDとパスワードの使いまわしをしていたとしても、パスワードが更新されているため不正ログインを防止できます。
4、パスワードの履歴を保存
短期間で2つか3つ程度のパスワードを使いまわすと、パスワードを定期的に変更する意味がありません。定期的にパスワードの有効期間を設定する仕組みを導入する際は、過去のパスワード履歴を保存し、過去のパスワードを指定できないようにすることも重要です。
5、パスワードの暗号化など適切な保管
認証情報を保存するシステムは、パスワードの暗号化など適切な保管を行なうことも重要です。平文(暗号化していないプレーンテキスト)のパスワードは、通信データがハッキングされたときに丸見えになってしまい、悪用の危険性があります。
6、休眠アカウントの削除
退職者のアカウントは定期メンテナンスで削除するほか、長期間利用のない休眠アカウントも定期的に削除しましょう。
一般に開放している会員サイトの場合は、利用規約にどのぐらいの期間ログインがなければ削除するかを明示しておく必要があります。
7、パスワードポリシーの厳格化
生年月日や電話番号など、容易に推測されやすいパスワードは設定できないよう、パスワードポリシーを厳格化するのも対策のひとつです。
英数字・全角半角・記号などの組み合わせなど、パスワードポリシーに沿って作成することで、より堅固なパスワードを生成できます。
8、アカウントのロックアウト機能を有効にする
アカウントのロックアウトとは、指定回数ログインに失敗すると、そのアカウントをログインできないようにする機能です。不正アクセスを何度も試みるタイプのサイバー攻撃にはかなり有効な対策となります。
元々ロックアウト機能を有効にしていれば問題はありませんが、そうでない場合は設定を変更しましょう。
9、ログイン履歴の表示
ログイン直後の画面のどこかに、ログイン履歴を表示する機能を追加しましょう。ユーザー自身が身に覚えのないログインを発見しやすくなります。
リスト型アカウントハッキング発生時の対策3つ
万が一リスト型アカウントハッキングが発生してしまった場合は、焦らずに以下の対策を進めてください。被害の拡大を防止するとともに、被害状況を把握することに努めます。
1、不正アクセスを受けたアカウントのパスワードリセット
不正アクセスを受けた場合は、そのアカウントのパスワードをすぐにリセットし、以前のパスワードでアクセスできないようにしてください。
パスワードをリセットした後は、該当ユーザーに連絡をして、不正アクセスを受けたことと、パスワードを別のものに再設定する必要がある旨を伝えます。
2、特定IPアドレスからの通信遮断
不正アクセスを行なっているIPアドレスの特定作業も重要です。セキュリティ担当者に依頼するか、保守運用を依頼している会社にすぐ連絡して、至急対応を進めましょう。
被害を拡大させないためにも、特定したIPアドレスからの通信は即時遮断してください。
3、普段とは異なるIPアドレスからの通信遮断
IPアドレスを特定して通信を遮断しても、相手側は別のIPアドレスを使って攻撃してくる可能性があります。
そのため、普段利用しているIPアドレスからの通信はすべて遮断する必要もあります。
ワンタイムパスワード導入でリスト型アカウントハッキングを防止
リスト型アカウントハッキングの手口と事前対策・発生時の対策について解説しました。
ワンタイムパスワードの導入は、リスト型アカウントハッキングの事前対策として有効な手段のひとつです。ワンタイムパスワードの導入を検討する場合は、気になる製品の資料を入手して、選定の検討にお役立てください。
