一口にサイバー攻撃と言っても色々と種類があり、それぞれに備えるべきリスクが異なります。本稿でご紹介するのは、近年話題になることの多い「リスト型攻撃」です。2019年7月にはセブンイレブン&アイホールディングスが提供していた7Payが不正アクセスに遭ったことで話題になったこのサイバー攻撃は、現在でも至るところで猛威を奮っています。「リスト型攻撃」の脅威からアカウントや個人情報を保護するにはどうすれば良いのでしょうか?「リスト型攻撃」がどのようなものかを整理し、具体的な対策方法を解説します。
リスト型攻撃って何?
普段から情報セキュリティに関心のある方ならば、誰もが知っているであろうリスト型攻撃という名のサイバー攻撃。この攻撃を受けるのは企業が提供するサービスなどですが、実害を受けるのはユーザーです。しかも、個人情報が流出してしまう原因の一端がユーザー側にもあるのです。
リスト型攻撃というのは文字通り、アカウントとパスワードが記載されたリストをもとにウェブサービスへの不正アクセスを試みる攻撃です。パスワードリスト攻撃やアカウントリスト攻撃と呼ばれることもあります。
ウェブサービスは基本的にアカウントとパスワードの組み合わせによる認証があります。サービスへログインするために2つの情報を入力するのは、サービスを利用している本人であるかどうかを確認するためですが、この2つの情報が第三者の手に渡ってしまうとどうでしょうか?いとも簡単に不正アクセスを許してしまいます。
共通アカウント・パスワードの問題とリスト型攻撃
インターネット環境が広く整備され、スマーフォンが世界中に普及している現代、様々なウェブサービスを活用している方が多いのではないでしょうか。Gmailなどの無料メールサービスは標準的に利用しているでしょうし、そのほかにも無料・有料を問わず、ほとんどの方が複数のウェブサービスを利用していると思います。
そして、そのウェブサービスごとにアカウントとパスワードを作成して管理しているわけですが、複数のウェブサービスで共通のアカウントとパスワードを利用しているケースが目立ちます。これはユーザー側の利便性という点では普通のことかもしれませんが、情報セキュリティの観点では非常に危険なことです。なぜなら、1つのウェブサービスからアカウントとパスワードが流出した結果、他のウェブサービスでの不正アクセスにつながってしまう可能性があるからです。
そうです。リスト型攻撃は、何らかの方法により「A」のウェブサービスから入手したアカウントとパスワードをもとに、「B」のウェブサービスで不正アクセスを試みるサイバー攻撃です。そのため、ウェブサービスを利用する数が多いほどアカウント情報が不正に入手されたり、リスト型攻撃によって不正アクセスされるリスクが高まります。よく考えずになんでもかんでもサービス登録することを控えるのはもちろんのこと、後述の対策を心がけることが大切です。
リスト型攻撃を防ぐ基本的な対策
リスト型攻撃を効果的に防ぐ、シンプルかつ簡単な対策があります。それは、「ウェブサービスごとに異なる、そして複雑なパスワードを設定する」ことです。
アカウントについてはメールアドレスが利用されることも多く、サービスごとに複数のアドレスを取得するのは管理が複雑になりますので、同じアカウントを使用するケースはどうしてもあると思います。しかし、パスワードに関してはウェブサービスごとに異なる複雑なパスワードを設定するようにしましょう。同じパスワード、類似したパスワードをついつい使いまわしてしまう場合は、ウェブサービスごとのパスワード再設定を検討してください。
ところが、この対策には課題もあります。複雑に設定された複数のパスワードを頭の中で管理する(覚える)ことが非常に難しいことです。利用するウェブサービスが多いほどパスワードの数も増えますので、全てを正確に記憶するのは困難でしょう。このような場合は、ログイン情報の管理負担を軽減するパスワード管理ソフトが便利です。アンチウイルスソフトのメーカーから提供されている無料のパスワードマネージャーもありますので、パスワード管理に負担を感じる場合の良い対策となります。
ウェブサービス提供事業者への影響と対策
では、リスト型攻撃をウェブサービス提供事業者の視点から考えたとき、どのような影響と対策があるのでしょうか?
まず「リスト型攻撃を受けてしまった」という事実により、ウェブサービスに対するユーザーからの印象が著しく低下します。「リスト型攻撃は他のウェブサービスから入手したアカウントとパスワードを使って不正アクセスする攻撃だ。ユーザーのアカウントとパスワードの管理の問題だ。」という見解の方もいらっしゃるでしょう。しかし、ユーザーの視点では「不正アクセスを許して個人情報の流出があったサービス」のように見えてしまうのです。
新規会員の増加や優良なサービスとして成長を目指すのであれば、提供事業者の責務としても適切な対策を実施していく必要があります。以下に対策の例を示します。
画像認証(CAPTCHA)を導入する
画像認証とは、ログインや購入などの重要な処理を実行する際に、ひらがなや英数字といった文字列をコンピューターが認識し難いかたちで表示し、ユーザーに入力を求める機能です。不正ログイン対策においては、機械化された攻撃に対して有効であり、リスト型攻撃に対しても攻撃の影響を低減する効果が見込めます。
二要素認証を導入する
アカウントとパスワードとは別の認証方式を組み合わせることで不正ログイン対策を強化します。複数の認証方式を組み合わせた「多要素認証」について、2つの認証方式を組み合わせた場合を「二要素認証」といいます。
ログイン時、登録している携帯電話番号あてにSMS(ショートメッセージサービス)でワンタイムパスワードが送信され、確認画面に入力するという方式が代表的です。機械的な攻撃に対してだけでなく、なりすましに対する耐性も上がるため、提供事業者とユーザー双方にとって安心感が高まる対策といえます。
不正アクセス対策製品を導入する(WAFの導入)
不審なログイン試行を検出する仕組みとして、WAFやIPSなどの不正アクセス対策製品を導入するのも有効です。ログインページに連続して複数回アクセスが試みられたり、同時に大量のアクセスが発生した際に接続元のIPアドレスからのアクセスをブロックすることが可能です。
主に機械的な不正ログインの影響を低減する効果が見込めます。製品によっては、同一処理・エラー回数のように状態を判定して遮断することができますが、アカウントとパスワードが不正に入手されている前提のリスト型攻撃では、1アカウントあたりのログイン試行回数は少なく、総当たり攻撃のような大量アクセスを必要としません。より強固な対策を実施する場合は前述の対策を組み合わせることが効果的です。
なお、リスト型攻撃に用いるアカウントとパスワードの情報を盗む一つの手段として、攻撃者はウェブアプリケーションの脆弱性を悪用したサイバー攻撃を仕掛けてきます。代表的な攻撃手法として、SQLインジェクションやOSコマンドインジェクションがあり、これらの攻撃に対して「WAF」はとても有効な対策となります。提供しているサービスからアカウントやパスワードの情報が盗まれないようにするという観点でも不正アクセス対策製品の導入は効果的です。
セキュリティプラグインを活用する
WordPressなどのCMSでは、有料のプラグインだけでなく、有志によって開発された無料プラグインを利用することができます。当社開発のWordPress用の無料セキュリティプラグイン「SiteGuard WP Plugin」では、ログインページの画像認証(CAPTCHA)のほか、連続したログイン失敗があった場合のロック機能が実装されています。
また、ユニークな機能として「フェールワンス」という機能があります。これは、ログインに成功しても一度目はわざと失敗として処理し、所定の時間内に再度正しいログイン情報を入力することでログインが成功するという機能です。ユーザーの操作としては一手間あるのですが、攻撃者に対しても一度ログインを失敗させるため、ログインが成功したのかが分かり難くなり、リスト型の対策としても一定の効果が見込めます。CMSを利用している場合は、有効なセキュリティプラグインが提供されていないか探してみてください。
いかがでしょうか?リスト型攻撃による被害を受けないようにするため、今一度、不正ログイン対策の実施状況を整理し、必要に応じた見直しを行いましょう。
5分でまるわかり!
WAFによるサイバー攻撃対策
そもそもサイバー攻撃とは何か?Webサイトをサイバー攻撃から守る「WAF」導入のメリットやその種類と選び方までを解説しています。
