セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

攻撃手法解説:パスワードリスト型攻撃


パスワードリスト型攻撃とは、攻撃者が何らかの手段で入手したIDとパスワードの組み合わせを用いて、標的とするウェブサイトやアプリケーションに不正ログインを試行する行為を指します。
一般的なユーザーは、同一のIDとパスワードを複数のウェブサイトで使いまわす傾向にあります。もし、あるウェブサイトでIDとパスワードが漏洩すると、その情報を使いまわしている別のウェブサイトにも攻撃者はアクセスできることになり、悪用の範囲が広がるのです。

不正ログイン試行回数が増加傾向

2019年1月にIPA(情報処理推進機構)が発表した「情報セキュリティ安心相談窓口の相談状況[2018年第4四半期(10月~12月)]」によると、インターネットサービスへの不正ログインに関する窓口相談件数は、前四半期と比較して66.2%増の113件に達しました。[1]この件数は過去最高となります。

「IPA(情報処理推進機構)」より

パスワードリスト型攻撃を大量に試行することを可能にしているのが、ボットの存在です。現在、攻撃者は高度なツールやリソースを簡単に利用することができ、私達の身の周りのリスクは、急速に複雑化しています。

アカマイが2018年5月1日~12月31日にわたって観測したボットによる不正ログイン試行の総数は、279億8592万324件でした。[2]
1日当たり平均1.15億回以上の不正ログインが試行されていたことになります。

SNSログインのうち53%は不正アクセス

詐欺防止プラットフォーム「Arkose Labs」の調査によると、SNSに対するサイバー攻撃の75%はボットによって自動化されています。[3]

実際、SNSログインのうち53%が不正アクセスだったという結果も出ています。
SNSでは乗っ取ったアカウントが、スパムの拡散、個人情報の窃取、プロパガンダの拡散、ソーシャルエンジニアリングなどに悪用されています。

今後はSaaS型アプリケーションに対する不正ログインに要注意

今後より注意しなければならないのは、年々利用が増加しているSaaS(Software as a Service)型で提供されているサービスに対する不正ログインでしょう。SaaS型のサービスには、「名刺管理」「チャット」「採用管理」「販売管理」「会計処理」「BI/データ分析」「オンラインストレージ」など、攻撃者が狙うに値する多くの情報が存在します。

これらのサービスに対して、不正に入手した大量のIDとパスワードで、実際にログインできるか否かを検証する際にも、ボットを利用したパスワードリスト型攻撃が行われる可能性があります。ボットによって検証されたIDとパスワードを悪用した不正ログインを許せば、それらのSaaS型サービスに保存されたデータが大量に流出する危険性があります。

これらのサービスを利用するユーザー側も、パスワードの使いまわしをしないのはもちろんのこと、対象となるサービスで具体的にどのようなセキュリティ対策が取られているか、どのようなリスクが想定されるかを確認した上で、利用するサービスを選択する必要があります。

CheckPoint CloudGuard SaaSは、振る舞い分析とID-Guard 技術により、あらゆるSaaSアプリケーションの不正ログインを防止。許可されていないユーザやデバイスをブロックするため、攻撃者が正しい資格情報を有していても疑わしいログインを阻止することが可能です。

CloudGuard SaaSについての詳細はこちらから
img_CC_SaaS

脚注

[1]引用:情報セキュリティ安心相談窓口の相談状況[2018年第4四半期(10月~12月)] | IPA(情報処理推進機構)
[2]引用:[インターネットの現状]/セキュリティ 第5巻、スペシャル・メディア・エディション Credential Stuffing:攻撃と経済活動 | アカマイ・テクノロジーズ
[3]引用:Over half of social media logins are fraudulent | batanews

記事一覧に戻る