パスワードリスト攻撃の事例と対策方法をまとめてみた

パスワードリスト攻撃は、SQLインジェクション攻撃やクロスサイトスクリプティング攻撃のようなWebサイトの脆弱性を突く攻撃ではありません。正規のユーザIDとパスワードを使って堂々と不正ログインする、非常に悪質な攻撃です。
そもそも悪用するアカウントに関する情報を、どのようにして攻撃者は入手しているのでしょうか。もしかしたら、今この瞬間にも、使っているインターネットサービスの情報が盗み出されているかもしれません。
今回は、パスワードリスト攻撃の概要と被害例、及び対策について解説いたします。

パスワードリスト攻撃とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃です。ユーザー本人になりすましてアクセスするため、不正かどうか判断しにくいという特徴があります。
パスワードリスト攻撃の元になるのは、他のWebサイトから流出したユーザIDとパスワードのリストです。

本来は、Webサイトからこうした機密情報が流出すること自体あってはならないのですが、攻撃者の巧みな攻撃によって流出する事件が後を絶ちません。

例えばAサイトからユーザIDとパスワードのリストが大量に流出したとしましょう。

Aサイトはこれに気がつけば、直ちにユーザへ連絡し、パスワードの変更を呼びかけます。ユーザも不正アクセスされては大変、とすぐにパスワードを変えるでしょう。

変更までのタイムラグの間に不正アクセスされる恐れはありますが、パスワードさえ変えてしまえば、Aサイトはひとまず安心のはずです。

しかしこの流出問題、実はAサイトだけの話では済まないのです。

オンラインサービスを利用している顧客自身にもパスワードリストを盗まれやすくする要因があります。
インターネットのユーザーは複数のWebサイトを利用しているのが一般的です。この時、パスワード管理が煩雑になるのが嫌なので、同じユーザIDとパスワードを使いまわすケースが多く見られます。

パスワードを推測しにくくするため、多くの文字種を使用することが推奨されていることからパスワードは複雑になってしまいます。こうして設定された複雑なパスワードは、Webサイトごとに使い分けようとしても困難なのです。

こうしたケースで流出したユーザIDとパスワードのリスト中には、他のサイトでも有効な情報が含まれている恐れがあります。
パスワードリスト攻撃は、このように不正に入手したユーザIDとパスワードリストを使って、他のサイトにログインを試みる攻撃です。

パスワードリスト攻撃自体は珍しいサイバー攻撃ではありません。以前から後を絶たない攻撃手法ですが、最近でも被害が発生しています。パスワードリスト攻撃の中でも、報道された事例について、いくつか紹介します。

・発表日：2017/9/1
・被害にあったサービス：ガス・電気料金情報Web照会サービス「myTOKYOGAS」
・不正ログイン試行回数：延べ100,000件
・不正ログインによる侵入：17件
出典：東京ガスの料金照会サービスに不正アクセス、17件の顧客情報が流出

・発表日：2017/2/10
・被害にあったサービス：KenCoM
・不正ログイン試行回数：多数
・不正ログインによる侵入：435件
出典：「KenCoM」への不正ログインに関するご報告

・発表日：2016/12/2
・被害にあったサービス：pixiv
・不正ログイン試行回数：未発表
・不正ログインによる侵入：3,646件
出典：【重要】pixivの一部アカウントに対する「なりすましログイン」の報告とパスワード変更のお願い

パスワードリスト攻撃のターゲットは、大きな企業ばかりではなく、私たちの日常を支える身近なサービスにまで及んでいます。今こそ真剣にセキュリティ対策を考える時が来ているでしょう。

一番確実な方法は、パスワードを他のサイトに使いまわさないことです。

しかし、そうは言っても前述の通りパスワード管理がとても煩雑になり利用者の負担が大きく、そのままでは実効性が薄い対策になります。

そこでおすすめな方法が、パスワードの基本部分は同じにして、サイトごとに少しだけ違う文字列を付け足す方法です。

例えば、基本パスワードを「kihonpasuward」とした場合、Googleでのパスワードは「kihonpasuwardgoogle」、Yahooでのパスワードは「kihonpasuwardyahoo」、といった具合です。

パスワードリスト攻撃は流出したパスワードをそのまま使ってログインを試みますので、このように少し変えておくだけで有効な対策ができます。パスワードに付け足す文字列も意味のあるものにしておけば、利用者の負担も軽くなります。

また、パスワード管理ツールを利用するのも良い方法です。複数のパスワードをサイトと組合せて管理してくれるので、パスワード管理ツール用のパスワードひとつを覚えておけばあとはツールまかせにできます。
一般的な方法ですが、紙に書いて管理する方法もあります。

この方法ならパスワードを覚える必要が無いため、強度の高いパスワードを各サイト用に準備できます。

欠点は手間がかかることです。それだけでなく、記入したメモを紛失するという、更なる不正利用のリスクもあります。
管理者は、利用者に対して同じパスワードを複数のサイトで使いまわさないように呼びかけるべきですが、利用者の負担を少しでも減らすアイデアと併せてアナウンスした方が実効性の高い対策となります。

可能であれば、最近では二段階認証というログイン方法を取り入れることも選択肢の一つです。ID・パスワード以外にも本人でなければアクセスできない要素を追加するタイプが増えてきています。

パスワードリスト攻撃で使用されるユーザIDとパスワードは、あくまでも同じユーザIDとパスワードを他のサイトでも使いまわしているかもしれない、という可能性があるだけで、実際にそれでログインできるかどうかは試してみないとわかりません。

大量のアカウントでのログインを試そうとすると、手入力ではとても効率が悪いため、パスワードリスト攻撃には攻撃用のツールが使われるのが一般的です。

攻撃用のツールに対して、守る側である企業は守りに特化したツール・機能が必要になるでしょう。サーバーや、webアプリケーションの保護に特化しているWAFを取り入れる方法がオススメです。

ツールは、リストを読み込んで連続してログインを試み、成功するかどうかをチェックします。つまり、パスワードリスト攻撃を受けたサイトは、同一IPアドレスから連続して、異なるアカウントで大量のログインを試みられるわけです。

そのほとんどが失敗するため、短時間にログイン失敗が大量に発生している場合は、ログイン失敗画面に強制的に遷移させます。

これは、WAF（Web Application Firewall）を導入することで可能です。攻撃者から見ると、そのサイトにはどのアカウントを使ってもすべてログインできないように見えます。
また、ログイン画面に人間でないと操作できない要素を追加して、ログインの自動トライを防ぐ手も有効です。

例えば、ログイン画面に「私はボットではありません」のチェックボックスを追加しておくなどの方法もあります。

今回は、パスワードリスト攻撃の概要と被害例、及び対策について解説しました。

ブルートフォース攻撃に比べると格段に成功率が高いため、パスワードリスト攻撃は今でも頻繁に行われている攻撃です。一番の対策は、同じパスワードを複数のサイトで使いまわさないことですが、サイト側でもWAFの導入などの対策が求められます。

クラウド型WAF「攻撃遮断くん」は、Webサーバ・Webサイトへのあらゆるサイバー攻撃をブロックするWebセキュリティサービスです。不正ログインが成功するとサイトの信用を含めて大ダメージになるので、この機会にWebセキュリティ対策を検討してみてはいかがでしょうか。

安価で高セキュリティなサービスを提供するクラウド型WAF「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

（WAFについてこちらで詳しく解説）

https://www.shadan-kun.com/
（2018/5/24 執筆、2019/9/12修正・加筆）