パスワードリスト攻撃

2018.01.10

サイバー攻撃用語

image

パスワードリスト攻撃は、SQLインジェクション攻撃やクロスサイトスクリプティング攻撃のようなWebサイトの脆弱性を突く攻撃ではありません。正規のユーザIDとパスワードを使って堂々と不正ログインする、非常に悪質な攻撃です。
今回は、パスワードリスト攻撃の概要と被害例、及び対策について解説いたします。

目次

パスワードリスト攻撃とは

パスワードリスト攻撃の元になるのは、他のWebサイトから流出したユーザIDとパスワードのリストです。本来は、Webサイトからこうした機密情報が流出すること自体あってはならないのですが、攻撃者の巧みな攻撃によって流出する事件が後を絶ちません。

例えばAサイトからユーザIDとパスワードのリストが大量に流出したとしましょう。Aサイトはこれに気がつけば、直ちにユーザへ連絡し、パスワードの変更を呼びかけます。ユーザも不正アクセスされては大変、とすぐにパスワードを変えるでしょう。変更までのタイムラグの間に不正アクセスされる恐れはありますが、パスワードさえ変えてしまえば、Aサイトはひとまず安心のはずです。しかしこの流出問題、実はAサイトだけの話では済まないのです。

インターネットのユーザは複数のWebサイトを利用しているのが一般的です。この時、パスワード管理が煩雑になるのが嫌なので、同じユーザIDとパスワードを使いまわすケースが多く見られます。パスワードを推測しにくくするため、多くの文字種を使用することが推奨されていることからパスワードは複雑になってしまいます。こうして設定された複雑なパスワードは、Webサイトごとに使い分けようとしても困難なのです。
こうしたケースで流出したユーザIDとパスワードのリスト中には、他のサイトでも有効な情報が含まれている恐れがあります。
パスワードリスト攻撃は、このように不正に入手したユーザIDとパスワードリストを使って、他のサイトにログインを試みる攻撃です。

後を絶たないパスワードリスト攻撃の被害

以前から後を絶たない攻撃手法ですが、最近でも被害が発生しています。

東京ガス株式会社

・発表日:2017/9/1
・被害にあったサービス:ガス・電気料金情報Web照会サービス「myTOKYOGAS」
・不正ログイン試行回数:延べ100,000件
・不正ログインによる侵入:17件
出典:東京ガスの料金照会サービスに不正アクセス、17件の顧客情報が流出

DeSCヘルスケア株式会社

・発表日:2017/2/10
・被害にあったサービス:KenCoM
・不正ログイン試行回数:多数
・不正ログインによる侵入:435件
出典:「KenCoM」への不正ログインに関するご報告

ピクシブ株式会社

・発表日:2016/12/2
・被害にあったサービス:pixiv
・不正ログイン試行回数:未発表
・不正ログインによる侵入:3,646件
出典:【重要】pixivの一部アカウントに対する「なりすましログイン」の報告とパスワード変更のお願い

パスワードリスト攻撃の対策

利用者側での対策

一番確実な方法は、パスワードを他のサイトに使いまわさないことです。しかし、そうは言っても前述の通りパスワード管理がとても煩雑になり利用者の負担が大きく、そのままでは実効性が薄い対策になります。そこでおすすめな方法が、パスワードの基本部分は同じにして、サイトごとに少しだけ違う文字列を付け足す方法です。

例えば、基本パスワードを「kihonpasuward」とした場合、Googleでのパスワードは「kihonpasuwardgoogle」、Yahooでのパスワードは「kihonpasuwardyahoo」、といった具合です。パスワードリスト攻撃は流出したパスワードをそのまま使ってログインを試みますので、このように少し変えておくだけで有効な対策ができます。パスワードに付け足す文字列も意味のあるものにしておけば、利用者の負担も軽くなります。
また、パスワード管理ツールを利用するのも良い方法です。複数のパスワードをサイトと組合せて管理してくれるので、パスワード管理ツール用のパスワードひとつを覚えておけばあとはツールまかせにできます。
一般的な方法ですが、紙に書いて管理する方法もあります。この方法ならパスワードを覚える必要が無いため、強度の高いパスワードを各サイト用に準備できます。欠点は手間がかかることです。
管理者は、利用者に対して同じパスワードを複数のサイトで使いまわさないように呼びかけるべきですが、利用者の負担を少しでも減らすアイデアと併せてアナウンスした方が実効性の高い対策となります。

Webサイト側での対策

パスワードリスト攻撃で使用されるユーザIDとパスワードは、あくまでも同じユーザIDとパスワードを他のサイトでも使いまわしているかもしれない、という可能性があるだけで、実際にそれでログインできるかどうかは試してみないとわかりません。大量のアカウントでのログインを試そうとすると、手入力ではとても効率が悪いため、パスワードリスト攻撃には攻撃用のツールが使われるのが一般的です。

ツールは、リストを読み込んで連続してログインを試み、成功するかどうかをチェックします。つまり、パスワードリスト攻撃を受けたサイトは、同一IPアドレスから連続して、異なるアカウントで大量のログインを試みられるわけです。そのほとんどが失敗するため、短時間にログイン失敗が大量に発生している場合は、ログイン失敗画面に強制的に遷移させます。これは、WAF(Web Application Firewall)を導入することで可能です。攻撃者から見ると、そのサイトにはどのアカウントを使ってもすべてログインできないように見えます。
また、ログイン画面に人間でないと操作できない要素を追加して、ログインの自動トライを防ぐ手も有効です。例えば、ログイン画面に「私はボットではありません」のチェックボックスを追加しておくなどの方法もあります。

まとめ

今回は、パスワードリスト攻撃の概要と被害例、及び対策について解説しました。ブルートフォース攻撃に比べると格段に成功率が高いため、パスワードリスト攻撃は今でも頻繁に行われている攻撃です。一番の対策は、同じパスワードを複数のサイトで使いまわさないことですが、サイト側でもWAFの導入などの対策が求められます。
クラウド型WAF「攻撃遮断くん」は、Webサーバ・Webサイトへのあらゆるサイバー攻撃をブロックするWebセキュリティサービスです。不正ログインが成功するとサイトの信用を含めて大ダメージになるので、この機会にWebセキュリティ対策を検討してみてはいかがでしょうか。