検索
ニュース

相次ぐパスワードリスト攻撃に注意、パスワードの使い回しは厳禁ID/パスワードリスト流通の可能性も?

この1カ月あまりの間に、国内のポータルサイトやオンラインショッピングサイトへの不正アクセスを狙った事件が複数発生している。被害を受けたサイトのいくつかは、その手口を一部明らかにし、ユーザーに向けてあらためて「パスワードの使い回し」を避けるよう呼び掛けている。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 この1カ月あまりの間に、国内のポータルサイトやオンラインショッピングサイトへの不正アクセスを狙った事件が複数発生している。被害を受けたサイトのうち、NTTレゾナントの「goo」や電子書籍販売サイトの「eBookJapan」ではその手口を一部明らかにし、ユーザーに向けてあらためて「パスワードの使い回し」を避けるよう呼び掛けている。

 NTTレゾナントが、gooのアカウント情報である「gooID」に対する不正アクセスに気付いたのは4月2日のこと。前日未明から続いていたgooIDログイン失敗件数の増加が、国内外の複数のIPアドレスからの、秒間30件を超える機械的なログイン要求によるものであることが判明した。

 当初、NTTレゾナントは一連の不正アクセスを、パスワードの文字列を総当たり方式で試す「ブルートフォースアタック」によるものとしていた。しかし詳細に攻撃ログを解析したところ、ほかの情報源から得たIDとパスワードの組み合わせを試していることが判明。中にはgooIDでは使用されない文字種/文字列が含まれていたことから、他社サービスから流出したIDとパスワードのセットリストを基に、アクセスを試みていた可能性があるとした。つまり、ほかのサービスで利用しているものと同じID、パスワードを使い回していた場合、不正にログインされた可能性があるということだ。

 NTTレゾナントによれば、不正アクセスを試みた攻撃者による個人情報へのアクセスや情報の改ざん、流出、決済サービスやメールへのアクセスなどは確認されていない。しかし同社は念のため、不正ログインの痕跡が認められた10万あまりのアカウントに加え、すべてのgooIDアカウントに対してアカウントロックを実施し、パスワードの再設定を依頼。その際に、「他社サービスにおけるパスワードの使いまわしではない、まったく別の強固なパスワード」を再設定するよう呼び掛けている。

 一方、電子書籍サイト「eBookJapan」を運営するイーブックイニシアティブ ジャパンは4月5日、779アカウントに対し、不正なログイン試行が行われたことを明らかにした。このケースでも当初、手口は機械的に総当たりを仕掛けるブルートフォース攻撃によるものと説明されていたが、4月9日に公開された詳細な情報によると、「あらかじめ持っていたログインIDとパスワードの適用可否を試行」したものだと判明した。

 イーブックイニシアティブ ジャパンがこのように判断した根拠は、不正なログイン試行の成功率の高さだ。ログインが成立してしまった779アカウントについて見ると、1回の試行で成功してしまったIDは半数近くの386件、2回目で成功したIDは347件に上る。

 一方、不正ログインに失敗した1431アカウントの場合、1回の試行だけで断念しているアカウントが1372件と、9割を占める結果になったが、9回まで試行したIDも1つあった。


イーブックイニシアティブ ジャパンが公表した、「eBookJapan」への不正アクセスの概要

 なお、イーブックイニシアティブ ジャパンのサーバからIDやパスワードが直接漏洩した形跡はないといい、他のサービスなどで不正に入手した、他のサービスのログインIDとパスワードのリストに基づき、ログインを試行しているのではないかとしている。同社は、同一IPアドレスからのログイン制限や不正の疑われるIPアドレスからのアクセスブロックといった対策を講じるとともに、ユーザーにはパスワードの再設定を依頼。この際、「eBookJapanサイトまたは他のサービスにおいて、現在・過去に利用されているパスワードは避け」るよう呼び掛けている。

 一連の情報を踏まえ、セキュリティ専門家の徳丸浩氏はブログの中で、これら「パスワードリスト攻撃」への注意を喚起した。同氏は、eBookJapanのケースで、同一IDに対して最大9個のパスワードが試されていることについて、「9以上のサイトから流出したIDとパスワードを組み合わせて攻撃に用いていると考えるのが自然」とした上で、「すでに、ブラックマーケットなどで、この種のリストが流通している可能性もある」と言及。利用者側には、「サイトごとに異なるパスワードを付けることで自衛」するよう推奨している。

 徳丸氏はさらに、「他サイトで漏洩したIDとパスワードを悪用されると、対策が難しくなる」としながらも、Webサイト運営側が実施可能な対策として、「二段階認証やリスクベース認証など、より強固な認証手段の検討」「サイトの負荷、ログイン試行数、ログイン失敗数などの監視を実施し、異常に気づける監視体制を整える」「パスワードの漏洩に備えて、ソルトつきハッシュ、ストレッチングなどのパスワードの保護を導入する」といった項目を挙げている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  5. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  6. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  7. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  8. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  9. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  10. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
ページトップに戻る