現代は情報通信技術が加速度的に進歩・発展しており、それに伴ってサイバー攻撃も多様化かつ巧妙化する傾向にあります。特にクラウドサービスやWebアプリケーションを積極的に活用している企業の場合、パスワードリスト攻撃に対する注意が必要です。本記事では、パスワードリスト攻撃の基礎知識について解説します。パスワードリスト攻撃によって起こりうる被害や対策方法なども紹介しますので、ぜひ参考にしてください。
パスワードリスト攻撃とは
パスワードリスト攻撃とは、第三者が不正な手段でIDやパスワードを入手し、本人になりすましてログインするサイバー攻撃です。攻撃者がIDやパスワードを不正に入手する方法は多岐にわたります。例として挙げられるのは、正規のサービスを装ってIDやパスワードを入力させるフィッシングメール、キーボードの入力情報を記録するキーロガーを介したデータの窃取、またはパスワードを総当たりで解読するブルートフォース攻撃などです。
また、組織内部の人間による意図的なデータの流出や、ヒューマンエラーによる情報漏えいなどもパスワードリスト攻撃の起点になり得ます。パスワードリスト攻撃は正規のユーザーが実際に使用しているID・パスワードを悪用してログインするため、不正アクセスとして検知しにくい傾向にあります。同じパスワードを使い回している場合、別のサービスにまで被害が拡大する点もパスワードリスト攻撃の特徴です。
パスワードリスト攻撃によって起こりうる被害
パスワードリスト攻撃の標的となった場合、想定される被害として以下の3つが挙げられます。
・SNSのアカウントが乗っ取られる
パスワードリスト攻撃によってIDやパスワードを窃取された場合、なりすましによるSNSアカウントへの不正なログインが可能です。攻撃者はそのアカウントを利用して持ち主が意図しない内容を不正に投稿できるため、フォロワーに誤解を与えてしまう可能性があります。
また、不正にログインしたアカウントをスパムの起点として悪用されるケースも珍しくありません。企業の公式アカウントが乗っ取られた場合、ブランドイメージの失墜につながるのはもちろん、正規のアカウントを装った詐欺行為に利用されるリスクが懸念されます。
・個人情報・機密情報が漏えいする
パスワードリスト攻撃によって想定される被害のひとつが機密情報の漏えいです。近年ではクラウドコンピューティングの普及に伴い、基幹業務を統合的に管理するERPや、顧客関係を一元管理するCRMをクラウド環境で運用する企業が少なくありません。
第三者にIDやパスワードを悪用されると、従業員の個人情報や顧客情報、あるいは製品開発情報や財務情報といった機密度の高いデータを盗み出される可能性があります。こうした機密性が流出した場合、企業の信頼性が損なわれるだけでなく、多額の賠償責任を負うことも考えられます。
・クレジットカードを不正利用される
パスワードリスト攻撃によって、クレジットカードの不正利用も起こりえます。たとえばECサイトにはユーザーの氏名や住所、電話番号、メールアドレス、さらにはクレジットカード情報など、さまざまな重要データが保存されています。
パスワードリスト攻撃によってECサイトに不正ログインされた場合、攻撃者は登録されているクレジットカード情報を盗み出し、ユーザーになりすまして商品やサービスを購入することが可能です。また、窃取したクレジットカード情報を違法賭博や不正取引などに悪用される可能性もあります。
パスワードリスト攻撃の対策方法
パスワードリスト攻撃から情報を保護するためには、以下に挙げる5つの対策を意識することが大切です。
・複雑なパスワードを設定する
パスワードリスト攻撃を防止する基本的な対策はパスワードの複雑化です。単純なパスワードは簡単に推測されるため、英字や数字を組み合わせるのはもちろん、大文字や小文字、記号などを含めること、そして文字列に意味をもたせないことで情報窃取のリスクを軽減できます。また、パスワードの長さも重要な要素であり、一般的には12文字以上のパスワード設定が推奨されます。
・ID・パスワードを使い回さない
複数のサービスでID・パスワードを使い回している場合、ひとつのサービスで情報が漏えいすると、他のサービスにも不正アクセスされるリスクが高まります。IDとパスワードの使い回しはパスワードリスト攻撃の大きなリスク要因となるため、サービスごとに設定するパスワードを変更することが重要です。なお、パスワード管理ツールを利用することで、複数のパスワードを安全かつ効率的に管理できます。
・多要素認証を使用する
多要素認証とは、2つ以上の認証要素を組み合わせてユーザーの真正性を確認する認証方式です。たとえばID・パスワードだけでなく、スマートフォンを介した認証コード、あるいは指紋や網膜などの生体認証を取り入れることで強固なセキュリティを担保できます。仮にIDやパスワードを窃取されたとしても、他の認証要素を突破しなければログインできないため、パスワードリスト攻撃に対する強力な防御手段となります。
・脆弱性診断を実施する
脆弱性診断とは、専用のツールなどを使用し、サーバーやネットワーク、データベースなどに内在する脆弱性をスキャンするプロセスです。ITシステムやアプリケーション全体を網羅的に検査し、サイバー攻撃の起点になり得るセキュリティホールを特定します。定期的に脆弱性診断を実施し、発見されたセキュリティホールにパッチを適用することで強固なセキュリティレベルを維持できます。
・WAFを利用する
WAF(Web Application Firewall)は、アプリケーション層へのサイバー攻撃を防止するシステムです。Webアプリケーションはクライアントの要求に対して動的に応答する仕組みであり、不正なSQLコマンドの実行で情報を窃取される脆弱性が存在します。WAFはリクエストを検査して異常なパターンや入力を検知したり、特定のIPアドレスからの大量アクセスをブロックしたりできるため、アプリケーション層の脆弱性を狙うさまざまなサイバー攻撃を防止できます。
パスワードリスト攻撃を防ぐなら「Cloudbric WAF+(クラウドブリック・ワフプラス)」がおすすめ
「Cloudbric WAF+」は、Webアプリケーションを基盤とするシステムの脆弱性を保護し、不正アクセスやマルウェアなどのサイバー攻撃を遮断するセキュリティサービスです。Webトラフィック特性学習AIエンジンと論理演算(ロジック)検知エンジンを搭載しており、高度なサイバー攻撃も遮断できます。
また、セキュリティエキスパートのマネージドサービスがついているため、セキュリティ専門家がいなくても簡単に導入・運用できる点が大きなメリットです。パスワードリスト攻撃を含むサイバー攻撃から情報資産を保護するためにも、「Cloudbric WAF+」の導入を検討してみてはいかがでしょうか。
(参照:Cloudbric WAF+)
まとめ
パスワードリスト攻撃は第三者がIDやパスワードを不正に入手し、本人になりすましてログインするサイバー攻撃です。パスワードリスト攻撃の標的となった場合、SNSアカウントの乗っ取りや機密情報の漏えい、クレジットカードの不正利用といった被害が起こりえます。パスワードリスト攻撃による被害を防止するためには、複雑なパスワードを設定して使い回しを避け、定期的な脆弱性診断を実施するとともに、WAFのようなセキュリティソリューションを活用することが大切です。
▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」
▼製品・サービスに関するお問い合わせはこちら