2013年のセキュリティ業界は「リスト型攻撃」の一年だったと思います

 投稿日時
2013/12/19 11:37:48
 最終更新日時
2013/12/19 11:37:48

2013年もお世話になりました

12月になり、一気に冬が深まりました。2013年もあと10日あまり。今年も終わろうとしています。
個人的に2013年は非常に嫌なことばかりの一年でしたが、このブログをご覧の皆さまはいかがでしたでしょうか。

「リスト型攻撃」の一年

さて、セキュリティ界隈で言うならば、今年は「リスト型攻撃」の一年だったと思います。
総務省からも昨日「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」という資料が発表されました。(が、有識者の皆さまからツッコミが寄せられている模様なのでリンクは避けたいと思います。)

「リスト型攻撃」とは

「リスト型攻撃」は「パスワード(アカウント)リスト攻撃」や「リスト型アカウントハッキング」とも呼ばれる攻撃法です。
まず、何かのサービスで使われているIDとパスワードを入手します。この方法はいくつかあり、例えばネットショッピングサイトから漏れたリストを手に入れたり、個人のパソコンにマルウェアを仕込んで入手したりといった方法が考えられます。
次に、そのIDとパスワードで、色々なサービスに対してアクセスを試みます。Gmail、Yahoo!メール、Amazon、楽天…。もちろん無名のサイトでも構いません。
大手サイトに対して一気に試行するとロックがかかることがあるため、そういう場合は多くのIPから試すなどの方法を使っているようです。

リスト型攻撃への対策

この攻撃への対策は、サイト運営者とサイト利用者で変わってきます。
サイト運営者の対策はいろいろあり、同一IPからログインエラーが多くあるかどうかの監視や、利用実績がないアカウントは利用できないようにするなどの対策があります。
ただ、サイト利用者の場合は基本的な対策は一つです。それは「パスワードの使い回しをしない」ことです。

簡単だけど手間のかかる対策

リスト型攻撃は、パスワードを使い回さなければ絶対に通用しない攻撃です。(もちろん、「password_amazon」みたいに他サイトのパスワードが推測できるものならば別です。)
かといって、パスワードをサイトごとに管理するのは面倒で、ついつい同じパスワードを使ってしまいがちかも知れません。
そこで、私がライトユーザーの方にオススメしているのは以下の方法です。

  1. ランダムなパスワードを作る(12桁以上。記号も含む)
  2. 使用してブラウザに記録させる
  3. 自分宛にメールする
  4. 入力し直す時はメールを見る
この方法について厳密なことを言えば、他のパスワードのキーとなるメールのパスワードはよりセキュアなものにする必要がありますし、ブラウザに記録させるのもマルウェアに狙われる可能性があります。
ただ、この危険性と、パスワードを使い回す危険性を比べれば、どちらに利があるかは明らかでしょう。

パスワードの定期的な変更は必要?

また最後になりましたが、簡単に「パスワードは定期的に変更する必要があるか」という点についても触れておきたいと思います。
私はパスワードを変更する必要があるのは、「パスワードが漏洩した可能性があるとき」と「パスワードを複数人で共有していて、その誰かが抜けたとき」だけだと考えています。通常は必要ありませんので、そこはご安心ください。