NEWS

ニュース | 最新のニュースをお届けします

「STOP!! パスワード使い回し!!」~パスワード使い回しによる情報漏洩への注意喚起[更新]

この記事をシェア

この記事は、マルウェアやセキュリティに関して、
キヤノンITソリューションズ株式会社から発信する情報です。

昨年に引き続き、IPA(独立行政法人情報処理推進機構)およびJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)から、リスト攻撃による不正ログインと情報漏洩防止に向けて、複数のインターネットサービスにおいて同じパスワードの使用を控えるよう注意喚起をする発表が行われました。

◆ はじめに

「●●●●サービスにリスト攻撃、●●●件の個人情報が漏洩!」
「株式会社▲▲▲に不正ログイン、▲▲▲▲件の個人情報が流出!!」
という類のニュースを最近とても頻繁に見かけるようになりました。

特に、最近多発している「リスト攻撃による個人情報漏えい被害」は「パスワードの使い回し」が原因で発生します。

ここでは、不正ログインと個人情報漏洩、パスワード使い回しの危険性についての注意喚起をご案内いたします。


◆1. 「不正ログイン」とは

「不正ログイン」とは、特定のサービスを利用する際のユーザー認証において、悪意のある第3者が不正な方法で当事者に成りすましてユーザー認証を行うことです。不正ログインが成功すると、成りすましたユーザーの権限(個人情報の閲覧など)が行使されてしまいます。

「不正ログイン」の方法には、マルウェアを悪用したものや認証システムの脆弱性を悪用したもの、単純な画面の盗み見まで様々ありますが、ここでは「パスワード解析」に分類される方法をご紹介します。

ブルートフォース攻撃
1つのアカウントごとに、しらみ潰しにパスワードを試行する攻撃です。
例えば、任意の6桁の数字がパスワードである場合、最大でも1,000,000回の試行によってパスワードが破られます。

リバースブルートフォース攻撃
ブルートフォース攻撃の逆で、1つのパスワードごとに、しらみ潰しにユーザーIDを試行する攻撃です。

辞書攻撃
パスワードによく使われる単語(「辞書」と呼ばれる)を利用して、パスワードを試行する攻撃です。
「123456789」や「password」などがパスワードとしてよく利用されるため、辞書に登録されています。
(参考)
Adobe breach reveals really terrible passwords are still popular 2 million used "123456"

リスト攻撃
悪意のある第3者が、不正に集められた「有効なアカウント(ユーザーIDとパスワードの組)のリスト」を闇市場で購入し、これを悪用して不正ログインを試行する攻撃です。
「パスワードリスト攻撃」や「アカウントリスト攻撃」とも呼ばれます。

今回の注意喚起に関連するのが、この「リスト攻撃」と呼ばれる攻撃手法です。

◆2. 漏洩する個人情報

不正ログインによって、主に以下の情報が漏洩する事例が多く見受けられます。

  • 氏名
  • 住所
  • 電話番号
  • メールアドレス
  • 性別
  • 勤務先情報
  • 利用サービスの設定内容

さらに、もしも以下のような金銭的に直接関係する情報が漏洩・悪用されると、被害が深刻になる恐れがあります。

  • クレジットカード情報
  • 決済用パスワード
  • 各種サービスのポイント情報
 

◆3. 「パスワード使い回し」の危険性

以上より、「パスワード使い回し」には個人情報漏洩と最悪の場合には金銭的被害の危険性があると言えます。

【「パスワード使い回し」によって金銭被害が発生するまで】

何らかの方法でインターネットサービスAのアカウント情報が盗まれる

盗まれたインターネットサービスAのアカウントが「アカウントリスト」に登録され、闇市場で売買される

「アカウントリスト」を悪用され、インターネットサービスBやインターネットサービスCに不正ログインが試行される

「パスワード使い回し」をしていたインターネットサービスBに対する不正ログインが成功し、個人情報などが漏洩する

さらに、インターネットサービスCから漏洩した情報には、クレジットカード情報なども含まれていたため、これを悪用して不正な売買契約が行われる

◆さいごに

最近増加している「リスト攻撃による個人情報漏えい被害」は、「パスワードの使い回し」が原因です。
「パスワードの使い回し」により、複数のインターネットサービスから容易に個人情報などが漏洩する恐れがあります。最悪の場合、金銭被害に発展する恐れもあります。

「リスト攻撃による個人情報漏えい被害」を回避するため、複数のインターネットサービスにおいて同じパスワードを使用することは控えましょう。
また、日頃から不正ログインされていないか注意を向け、不正ログインの疑いが生じたら直ちにパスワードを変更するようにしましょう。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!