パスワードリスト攻撃とは?主な仕組みや企業が取るべき対策を解説
近年、企業のWebサービスや会員サイトを狙った不正アクセスの一つとして「パスワードリスト攻撃」が問題になっています。過去の情報漏えいなどによって流出した認証情報が利用されるため、短時間で大量のログイン試行が行われるケースが増えています。
こうしたリスクを防ぐためには、攻撃の仕組みや発生する原因を理解したうえで適切なセキュリティ対策を講じることが重要です。本記事では、パスワードリスト攻撃の概要や主な被害内容、企業が実施すべき対策などを解説します。
目次
- 1. パスワードリスト攻撃とは
- 1.1 ブルートフォース攻撃との違い
- 2. パスワードリスト攻撃による被害
- 2.1 アカウントの不正ログイン
- 2.2 個人情報・機密情報の漏えい
- 2.3 企業の信用低下・ブランド毀損
- 2.4 ECサイトなどでの不正利用
- 2.5 インターネットバンキングを利用した不正送金
- 3. パスワードリスト攻撃が起きる主な原因
- 3.1 ID・パスワードの使い回し
- 3.2 フィッシング詐欺などによる認証情報流出
- 3.3 ログイン機能のセキュリティ対策不足
- 4. 企業が実施すべきパスワードリスト攻撃対策
- 4.1 多要素認証(MFA)の導入
- 4.2 ワンタイムパスワードの発行
- 4.3 使用していないアカウントの削除
- 4.4 複雑なパスワードを設定
- 4.5 CAPTCHAなどによるボット対策
- 4.6 WAFの導入
- 5. パスワードリスト攻撃対策を行う際のポイント
- 6. パスワードリスト攻撃の対策を行うならICへ
- 7. まとめ
パスワードリスト攻撃とは
パスワードリスト攻撃とは、インターネット上のサービスに対して不正ログインを試みるサイバー攻撃の一つです。主に会員サイトやECサイト、クラウドサービスなど、IDとパスワードによる認証を採用しているシステムが標的になります。
攻撃者は過去の情報漏えいなどによって入手した大量の認証情報を利用し、さまざまなサービスに対してログインを試行します。多くの利用者が複数のサービスで同じIDやパスワードを使い回していることを前提としているため、一部のアカウントでログインに成功すると個人情報の閲覧や不正利用などの被害につながる可能性があります。
ブルートフォース攻撃との違い
ブルートフォース攻撃とは、ログイン認証を突破するために考えられるパスワードの組み合わせを一つずつ試していくサイバー攻撃です。攻撃者は文字や数字、記号などの組み合わせを順番に入力しながらログインを試みます。
ただし、近年はログイン試行回数の制限やアカウントロックなどの対策を導入しているサービスも多く、攻撃が成立しにくい仕組みが整えられつつあります。
パスワードリスト攻撃は、既に流出しているIDとパスワードの組み合わせを利用するのに対し、ブルートフォース攻撃は特定のIDに対して手あたり次第パスワードを入れていくといった違いがあります。
パスワードリスト攻撃による被害
パスワードリスト攻撃は、不正ログインを起点としてさまざまな被害につながる可能性があります。被害は利用者個人にとどまらず、企業の信頼性やブランド価値にも影響を与えるので注意が必要です。
パスワードリスト攻撃によって発生する被害は、主に以下の5つが挙げられます。
-
アカウントの不正ログイン
-
個人情報・機密情報の漏えい
-
企業の信用低下・ブランド毀損
-
ECサイトなどでの不正利用
-
インターネットバンキングを利用した不正送金
これらの被害について、以下から解説します。
アカウントの不正ログイン
パスワードリスト攻撃の中で、最も直接的に発生する被害が不正ログインです。攻撃者は流出したIDとパスワードの組み合わせを利用してログインを試みるため、同じ認証情報を使い回している場合だとアカウントに侵入される可能性が高くなります。
不正ログインが成功すると、アカウント情報の変更や登録メールアドレスの書き換えなどが行われ、利用者本人がアクセスできなくなるケースもあります。
また、管理者アカウントや業務システムのアカウントが侵害された場合、システム全体への影響が拡大する可能性もあるため、企業にとって大きなリスクとなります。
個人情報・機密情報の漏えい
アカウントに不正ログインされると、登録されている個人情報や企業の機密情報が閲覧・取得される可能性があります。会員サービスなどでは氏名や住所、電話番号、メールアドレスなどの個人情報が保存されている場合が多く、これらの情報が第三者に取得されると不正利用や二次被害につながる恐れがあります。
一方、業務システムやクラウドサービスには顧客データや社内資料などの機密情報が含まれており、これらの情報が外部に流出すると取引先や顧客にも被害が及ぶ可能性があります。
企業の信用低下・ブランド毀損
パスワードリスト攻撃による被害が発生すると、企業の信用低下やブランド毀損につながります。たとえ攻撃の原因が外部からの不正アクセスであっても、利用者からは「セキュリティ対策が不十分だったのではないか」と受け取られることも少なくありません。
信頼の低下はサービス利用者の離脱や新規顧客の減少につながる可能性があり、企業活動全体に大きな影響を及ぼす恐れがあります。
ECサイトなどでの不正利用
ECサイトでは、アカウントが不正ログインされることで商品の不正購入が行われるケースがあります。攻撃者は登録されているクレジットカード情報やポイント、ギフト券などを利用し、商品を購入することがあります。さらに、配送先を変更して第三者の住所へ商品を送るといった手口も確認されています。
このような不正利用が発生すると返金対応や調査、システムの見直しなどが必要になるため、企業にとって大きな運用コストがかかってしまいます。
インターネットバンキングを利用した不正送金
金融サービスでは、パスワードリスト攻撃によってインターネットバンキングのアカウントが不正に利用される被害も報告されています。攻撃者がログインに成功すると、登録されている口座情報をもとに資金を別の口座へ送金するなどの不正操作が行われ、利用者に直接的な金銭的被害を与えます。
また、不正送金が発生すると補償対応や不正取引の調査などが必要になるため、金融機関やサービス提供企業にとっても重大な問題です。
パスワードリスト攻撃が起きる主な原因
パスワードリスト攻撃は、単に攻撃者の技術力だけで成立するものではありません。利用者の認証情報の管理方法やサービス提供側のログイン機能の設計など、複数の要因が重なることで被害が発生します。
パスワードリスト攻撃が発生する主な原因を、以下の3つの観点から解説します。
-
ID・パスワードの使い回し
-
フィッシング詐欺などによる認証情報流出
-
ログイン機能のセキュリティ対策不足
ID・パスワードの使い回し
パスワードリスト攻撃が成立する最大の要因の一つが、IDやパスワードの使い回しです。多くの利用者は複数のWebサービスやアプリを利用していますが、それぞれで異なる認証情報を管理する負担を避けるため、同じIDやパスワードで利用しているケースは少なくありません。
この状態でいずれかのサービスから認証情報が流出すると、その情報を利用して別のサービスへのログインが試みられる可能性があります。パスワードリスト攻撃は、こうした認証情報の使い回しが一定数存在することを前提として行われるため、利用者側の認証管理の状況が攻撃成功率に大きく影響します。
フィッシング詐欺などによる認証情報流出
フィッシング詐欺などによって認証情報が第三者に渡ることも、パスワードリスト攻撃が発生する原因の一つです。フィッシング詐欺では、正規のサービスを装ったメールやWebサイトを利用して利用者を誘導し、IDやパスワードを入力させる手口が使われます。利用者が偽サイトに認証情報を入力すると、その情報が攻撃者の手に渡り悪用されてしまいます。
また、こうして収集された認証情報は、別のサービスへのログインを試す目的でリスト化されることも少なくありません。その結果、パスワードリスト攻撃に利用される認証情報の数が増える要因となります。
ログイン機能のセキュリティ対策不足
サービス側のログイン機能に十分なセキュリティ対策が導入されていない場合、パスワードリスト攻撃の成功率が高まる可能性があります。たとえば、ログイン試行回数の制限がない場合だと攻撃者は短時間に大量のログイン試行を行うことができてしまいます。
また、多要素認証や不審なアクセスの検知機能が導入されていない場合は、不正ログインが成立しても気づきにくいです。こうした環境はアカウントが突破されるリスクが高くなるため、企業側のシステム設計やセキュリティ対策が重要になります。
企業が実施すべきパスワードリスト攻撃対策
パスワードリスト攻撃は、企業側のシステム設計や運用によって被害を大きく抑えられる可能性があります。特にログイン認証に関するセキュリティ対策を複数組み合わせて導入することで、不正ログインの成功率を下げることが期待できます。
企業が実施すべき主なパスワードリスト攻撃対策として、以下の6つが挙げられます。
-
多要素認証(MFA)の導入
-
ワンタイムパスワードの発行
-
使用していないアカウントの削除
-
複雑なパスワードを設定
-
CAPTCHAなどによるボット対策
-
WAFの導入
それぞれの対策について、以下から詳しく見ていきましょう。
多要素認証(MFA)の導入
多要素認証(MFA)は、ログイン時に複数の認証要素を組み合わせて本人確認を行う仕組みです。一般的には「知識情報(パスワード)」に加え、「所持情報(スマートフォンなど)」や「生体情報(指紋・顔認証)」などを利用します。
多要素認証を活用すれば、仮にIDとパスワードが流出した場合でも追加の認証要素が必要になるため、不正ログインの成功を防ぐ効果が期待できます。多くのクラウドサービスや企業システムでも導入が進んでおり、パスワードリスト攻撃対策として有効な方法の一つです。
ワンタイムパスワードの発行
ワンタイムパスワードとは、ログイン時に一度だけ利用できる使い捨てのパスワードのことです。通常はスマートフォンアプリやSMS、メールなどを通じて発行され、一定時間が経過すると無効になります。
この仕組みにより、IDとパスワードが第三者に知られた場合でもログイン時に追加のパスワード入力が求められるため、不正アクセスを防ぎやすくなります。ワンタイムパスワードは多要素認証の一種として利用されることも多く、金融サービスやクラウドサービスなどで広く採用されています。
使用していないアカウントの削除
長期間利用されていないアカウントは、不正ログインのリスクを高める要因になりやすいです。利用されていないアカウントであっても、システム上に残っていると不正ログインの試行対象になる可能性があります。
また、退職者のアカウントや一時的に作成されたアカウントが残っていると、管理が行き届かない状態になることがあります。そのため、企業では定期的にアカウントの棚卸しを行い、不要なアカウントを削除することが重要です。
複雑なパスワードを設定
パスワードの強度を高めることも、基本的なセキュリティ対策の一つです。短い文字列や単純な単語などの推測しやすいパスワードは、不正アクセスのリスクを高める要因になります。そのため、英大文字・英小文字・数字・記号を組み合わせた複雑なパスワードを設定することが推奨されています。
また、一定期間ごとのパスワード変更やサービスごとに異なるパスワードを設定することも大切です。こうした対策を行うことで、認証情報が第三者に推測されたり悪用されたりするリスクを低減できます。
CAPTCHAなどによるボット対策
CAPTCHA(キャプチャ)は、人間と自動プログラム(ボット)を判別するための仕組みです。ログイン画面などで画像認識やチェックボックスの操作を求めることで、自動化された大量のログイン試行を抑制する効果があります。
パスワードリスト攻撃では、攻撃者がボットを利用して大量の認証情報を高速で試行するケースが多いため、こうした自動アクセスを制限する対策が有効です。さらに、ログインフォームにCAPTCHAを導入することで攻撃ツールによるログイン試行を困難にし、不正アクセスのリスクを下げることにつながります。
WAFの導入
WAF(Web Application Firewall)は、Webアプリケーションに対する不正な通信を検知・遮断するセキュリティ対策の一つです。WAFは通信内容を解析し、不審なアクセスや大量のリクエストなどを検知してブロックする機能を持っています。
また、WAFはSQLインジェクションやクロスサイトスクリプティングなど、さまざまなWeb攻撃への対策としても利用されています。ログイン機能を含むWebサービス全体のセキュリティを強化する手段として、多くの企業で導入が進んでいます。
WAFの導入に関しては、以下の記事で詳しく紹介しています。
Azure WAF導入と認証方式の見直しでWEBサービスのセキュリティ強化を実現
パスワードリスト攻撃対策を行う際のポイント
パスワードリスト攻撃への対策は、単一のセキュリティ機能を導入するだけで十分とはいえません。認証の仕組みやアカウント管理、ログイン監視など、複数の要素を組み合わせて対策を進めることが重要です。
企業がパスワードリスト攻撃対策を進める際、意識しておきたいポイントは以下の3つです。
-
認証機能を含めたシステム設計を見直す
-
運用面とシステム面の両方から対策する
-
自社だけで対応が難しい場合は専門企業に相談する
これらのポイントについて、以下から解説します。
認証機能を含めたシステム設計を見直す
パスワードリスト攻撃への対策を考える際は、ログイン機能を中心としたシステム設計を見直すことが重要です。認証周りのセキュリティ機能を組み込むのはもちろんのこと、アカウントロック機能やアクセス制御などの仕組みを設計段階から考慮することで、攻撃を受けた場合でも被害の拡大を防ぎやすくなります。
認証機能は多くのWebサービスにおいて重要な入口となるため、セキュリティを意識したシステム設計が求められます。
運用面とシステム面の両方から対策する
パスワードリスト攻撃の対策は、システムの機能だけでなく運用面の取り組みも重要です。定期的なアカウント管理やログの監視、セキュリティポリシーの整備などは運用面での対策であり、多要素認証やWAFの導入、不審アクセスの検知機能などはシステム面の対策です。
どちらか一方だけでは十分な防御が難しいため、両方を組み合わせて対策を進める必要があります。技術的な対策と運用体制の整備を並行して進めることで、不正アクセスに対する耐性を高めることができます。
自社だけで対応が難しい場合は専門企業に相談する
セキュリティ対策は専門的な知識や技術が必要になることが多く、自社だけで対応することが難しいケースもあります。特にシステム開発やセキュリティ設計を伴う対策では、高度な専門知識が必要になることも少なくありません。
自社だけで対応が難しいと感じる場合は、セキュリティ対策専門の企業に相談することをおすすめします。専門的な知見を持つ企業の支援を受けることで、システム設計やセキュリティ対策のノウハウを活用できるため、より適切な対策を実施しやすくなります。
パスワードリスト攻撃の対策を行うならICへ
引用元:システム開発のIC
パスワードリスト攻撃への対策は、ログイン機能の設計やアカウント管理の方法、システム全体の構成などを踏まえて検討する必要があり、自社だけで対応方針を整理するのが難しいケースもあります。どのような対策をどの範囲まで実施するべきか判断できず、検討が進まない企業も少なくありません。
ICは、ITソリューションやシステム開発を手がけており、企業の業務内容やシステム構成を踏まえた支援を行っています。既存システムの状況や課題を整理したうえで、実際の運用に適した仕組みを構築することを重視しています。
パスワードリスト攻撃への備えやログイン認証の見直しなどを検討している場合は、ぜひICにご相談ください。
まとめ
パスワードリスト攻撃は、過去の情報漏えいやフィッシング詐欺などによって流出したIDとパスワードの組み合わせを利用したサイバー攻撃です。認証情報の使い回しがある環境では不正ログインが成立する可能性があり、個人情報・機密情報の漏えいやECサイトでの不正利用、インターネットバンキングの不正送金などの被害につながることがあります。
こうしたリスクを抑えるためには、多要素認証やワンタイムパスワードの導入、WAFの導入など、複数のセキュリティ対策を組み合わせることが重要になります。
しかし、認証機能を含めたシステム設計の見直しやセキュリティ対策の実装には、専門的な知識が必要になるケースも少なくありません。パスワードリスト攻撃の対策と考えている場合は、ICを選択肢の一つとして検討してみてはいかがでしょうか。
前の記事
サプライチェーン攻撃とは?主な攻撃パターンや具体的な対策を紹介
