( 1 ) リスト型攻撃とは?
リスト型攻撃とは、何らかの手段によって入手したIDとパスワードが記載されたリストをもとに、正規のルートから不正アクセスを行うサイバー攻撃の一種です。アカウントリスト攻撃、パスワードリスト攻撃とも呼ばれ、これが成功するとアカウントの乗っ取りや個人情報の詐取が行われます。
インターネット環境が整備され、スマートフォンが普及している現在、多種多様なウェブサービスを活用する機会が急増しています。政府によるキャッシュレス化の推進とともに、SNSやオンライン決済などの利用も増加し、そのすべてにIDとパスワードが必要とされています。たくさんのIDやパスワードを個人で管理することが煩雑になり、複数のサイトやサービスで同じIDとパスワードを使い回すユーザーが増加していることにつけ込んだ手法です。
( 2 ) リスト型攻撃による被害
リスト型攻撃を受けるのは企業などが運営するサイトやサービスですが、被害は企業だけでなくユーザーにも及びます。
具体的な被害の例としては、以下が挙げられます。
- 個人情報などの情報漏洩
- 不正送金
- Webサイトの改ざん
- クレジットカードなどの不正利用
この他にもECサイト内のポイントを不正利用される、SNSアカウントを乗っ取られて不正使用や不正投稿に利用されるなど、個人の不利益に繋がる被害事例が報告されています。
また、企業にとっては情報漏洩やサービスの利用停止などの事態に陥ってしまうと、対応コストだけでなく、信用失墜やイメージの低下に繋がり、最悪なケースではサービスの撤退といった事態にまで被害が拡大してしまう危険性も孕んでいます。
( 3 ) リスト型攻撃の予防と対策方法
リスト型攻撃に対する効果な方法は、同じIDとパスワードの使用を避け、さらに複雑なパスワードを設定することです。IDについてはメールアドレスなど同じものを使う場合もあるため、パスワードの設定をサービスごとに変え、かつ複雑にすることを検討しましょう。
複雑なパスワードが覚えられないという不安がある人は、パスワード管理ツールを使用する方法もあります。複数のIDとパスワードを登録しておき、必要に応じ、呼び出して使用可能なため、メモを取ったり、記憶したりする必要が無くなります。
また、サービスを提供する企業側の対策については、以下のようなものが挙げられます。
- ログイン回数の制限
すでに多くのサービスで導入されている方法で、ログインに複数回失敗すると一時的にアカウントがロックされます。ただし、ロックの解除に手間がかかるというデメリットもあります。
- 二段階認証(多要素認証)
ログイン時にIDとパスワードの入力以外の方法で認証を行う方式です。セキュリティコードやワンタイムパスワード、生体認証、秘密の質問など、さまざまな手法が用いられています。機械的な攻撃やなりすましへの耐性が上がるため、運営側とユーザーの双方の安心感が高まる対策といえます。
- 画像認証
ログインなどの重要な処理を行う場合に、ひらがな・英数字などの文字列をコンピュータが認識しにくい形で表示し、ユーザーに入力させるものです。こちらも機械的な攻撃に有効で、リスト型攻撃に対しても効果が期待されます。
- 不正アクセス対策ツールの導入
ログインページに複数回のアクセスや大量の同時アクセスがあった場合、異常を検知して管理者に通知したり、アクセスをブロックしたりすることが可能です。他の認証方式と組み合わせることでより効果的な対策となります。
企業側は以上の対策に加え、ID・パスワード作成の際に、「生年月日や保有する銀行口座の暗証番号などを使用しない」「すでに使用しているものを使用しない」といったユーザーに対する注意喚起も必要です。
ユーザーと企業の双方がセキュリティ対策への重要性を認識し、適切な対応を行うことで被害を未然に防ぐことが可能となります。
