コジマ、イオンカード、三越伊勢丹、ヤマト運輸など大手のサイトがパスワードリスト攻撃により不正アクセスされ大きな被害を出してしまいました。
ユーザーは防ぎようもないパスワードリスト攻撃(ブルートフォース攻撃)の被害を、どうしたら私たちは防ぐことができるか?
実例や手口から、私たちが学ぶべき教訓と対策をご説明します。
パスワードリスト攻撃とは
リストを元に総当たりで不正ログインを試みる
毎日のように発生しているパスワードの流出事件。
「オンラインサービスを登録したまま」だったり、「使わないで放置したIDとパスワード」などのアカウント情報は、いつの間にか流出してしまっています。
パスワードが流出したらどうなってしまうのでしょう?
- 流出したパスワードはリスト化されて、闇市場(ダークウェブ)で売買され犯罪者の間に流通する
- パスワードリストを手に入れた犯罪者は、さまざまなサイトやサービスに対して、パスワードリストを使って不正ログインを試みる。
- サイトやサービスのアカウントと、リストのパスワードが一致してしまったユーザーが不正ログインの被害を受ける
ことになってしまいます。
このよに、パスワードリストを使って総当たりして、ログインできる組み合わせを見つけて侵入する攻撃をパスワードリスト攻撃(またはブルートフォース攻撃)と言います。
2021年6月、なんと84億件ものパスワードが載ったリストが押収された
アメリカのセキュリティ情報サイトCybernewsによると、2021年6月7日、史上最大規模のパスワードリストが発見されました。
「RockYou2021」と名付けられた84億件ものパスワードリストは、100GBにもなる巨大なデータで、過去の多くの情報流出や不正アクセスによって犯罪者に集められたものの集約ということです。
こうしたパスワードがパスワードリスト(ブルートフォース)攻撃に使われています。
なお、Cybernewsは、84億件のパスワードに自分のものが含まれていないか調べるサービスを開始しました。
Cybernewsは信頼できるサイトですので、念のためお調べください。
■Check if your password has been leaked(英文:パスワードが漏洩していないか確認する)
こうしたパスワードがパスワードリスト攻撃に使われています。
流出したパスワードリストは犯罪者が情報を追加・更新し、精度が高まっていく
犯人達は、不正に入手したユーザーの「氏名、住所、生年月日、口座、暗証番号、パスワードなど」をセットにしてリスト化しされます。
このような個人情報が集約された情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。
以下のWikipediaの記事「総当たり攻撃」に書かれているように、ハッカー達はパスワードリスト(Fullz)の更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。
「人間が発想するパスワード」はワンパターンな事が多いため、予め言葉が予想される候補を優先的に組み合わせて検証していく辞書攻撃等があり、一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。
~中略~
一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。
■引用:Wikipedia「総当たり攻撃」より
毎日起きている「不正ログイン」とか「不正引き落とし」「フィッシング」などサイバー犯罪の原因のほとんどはここにあります。
「パスワードリスト攻撃」の実例と手口は?
大手家電量販店やペイメントを襲う不正ログイン事件
2019年は大手家電量販店のヤマダやコジマ、イオン銀行とイオンクレジットサービス、そして5000万円もの被害を出したセブンペイ事件と、不正ログイン事件が続出しました。
毎日のようなセキュリティ犯罪が発生しています。コジマ、イオンカード、三越伊勢丹、ヤマト運輸など大手のサイトがパスワードリスト攻撃により不正アクセスされ大きな被害を出してしまいました。ユーザーは防ぎようもないパスワードリスト攻撃(ブル[…]
ヤマダとセブンペイの事件の原因は、システムやアプリの欠陥を突かれて侵入されて機密情報を奪われたことにあります。
しかしそれ以外の事件の原因は、「悪意の第三者が、入手した不正なIDとパスワードが記載されたリストを使って、顧客になりすまして不正アクセスし、一致したIDとパスワードで不正ログインに成功し顧客情報の一部をのぞき見た」、つまりパスワードリスト攻撃です。
以下、パスワードリスト事件の詳細をご説明します。
未遂で終わったコジマへのパスワードリスト攻撃
2019年5月23日、コジマは、同社が運営するコジマネットに不正アクセスが発生したと発表しました。
コジマの事故の原因は、悪意の第三者がどこかで入手した不正なIDとパスワードのリストを使って、顧客になりすまして不正アクセスし、不正ログインを試み、ログインが成功した顧客の情報をのぞき見た「パスワードリスト攻撃」です。
パスワードリスト攻撃は、サービス側にとっては、ユーザーのようにログインしてくるのですから、防ぎようがありません。
そこで、パスワードリスト攻撃は防ぐのではなく、あやしいログインを検知して排除することが大切となります。
コジマの事件では、その検知システムが上手く作動して、発見が早く、クレジットカードのような重要情報は見られていませんでした。
該当の顧客にとって「個人の住所や氏名が見られてしまった」という気持ち悪さは残りますが、それ以上の被害はなく、パスワードの変更をするだけで済みました。
イオン銀行とイオンクレジットサービスの事件では2200万円もの被害
イオン銀行とイオンクレジットサービス事件の概要
2019年6月13日、イオン銀行とイオンクレジットサービス株式会社から衝撃の発表がありました。
イオンのネットサービス「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」で、パスワードリスト攻撃による「なりすまし不正ログイン」が発生してしまったのです。
コジマは不正ログインをすぐに発見したため、被害が出ませんでしたが、イオンでは数日間発見が遅れてしまい、その間約2000名の顧客情報が悪用され、2200万円もの被害が出てしまいました。
2000名の顧客情報が悪用されたということは、つまり犯人が持っていた流出IDとパスワードのリストに、少なくとも2000件はイオンのサイトでそのまま使えるものがあったということです。
つまりこの2000件の持ち主は「どこかで流出したパスワードをイオンに使い回しをしていたため、なりすまされて不正アクセスされて、不正ログインを許してしまった」ということになります。
イオン銀行とイオンクレジットサービス事件の犯人の具体的な手口
イオンの発表から推定できる、犯人が犯行を成功させた過程は以下のようなやり方であった思われます。
犯人は持ち主が登録していた携帯電話番号を書き換えることで不正使用がばれないようにして、持ち主がマイページに登録していたクレジットカードを使って決済アプリで不正な購入を繰り返しました。
- 闇マーケットでパスワードリストを入手
- イオンのカード会員向けサイトの「暮らしのマネーサイト」で、このリストを使ってパスワートリスト攻撃行い、次々と不正ログインを試みる
- 不正ログインに成功した1917件の「会員マイページ」に侵入
- 「会員マイページ」で既に持ち主が登録している携帯電話番号やメールアドレスを犯人のものに入れ替えてしまう
- 不正ログインに成功したIDとパスワードで「スマホ決済アプリ」の新規登録。登録すれば、決済はマイページに既に登録されていた持ち主のクレジットカードから引き落とされてしまう
- アプリ登録の本人確認メールはなどは、すり替えられた犯人のメールアドレスに送られるため、持ち主は犯行に気がつかない。
- スマホ決済アプリを使って次々に買い物など不正利用。→被害者708名、被害総額22,044,816円
イオン銀行とイオンクレジットサービス事件のユーザーの被害は?
ユーザーはイオンのマイページに登録していたクレジットカードから見に覚えのない引き落としがあって初めて不正利用に気がついたと思われます。
決済アプリからの引き落としで不正侵入で発生した被害は、イオンの例のように被害が原因が明らかな場合は、最終的には責任のある企業側が補償します。
しかしユーザー側は一時的であっても支払いの義務が生じるだけでなく、一度でも不正に使われたクレジットカージは無効になってしまうため、再発行の手続や、場合によっては警察に被害届を出すなど、面倒な対応が求められてしまいます。
また不正使用されたとしても、イオンのように不正使用が特定できれば補償を受けることができますが、盗用に気がつかず、ユーザー側がの泣き寝入りになる事も多いのです。
2020年8月の三越伊勢丹のECサイト不正ログイン事件
2020年8月6日、三越伊勢丹のECサイト「三越伊勢丹オンラインストア」で、イオンやコジマと同様のパスワードリスト攻撃が発覚しました。
コジマは不正ログインを検知して、被害を防ぎましたが、「三越伊勢丹オンラインストア」は不正ログインを許してしまい、7月6日から8月3日の長期間にわたって、約1万9000人の会員情報(氏名や住所、電話番号、メールアドレス、生年月日、クレジットカード番号の下4桁)が閲覧されてしまいました。
しかしその後の調査で、実は5月初旬より8月まで3ヶ月間も不正が行われ、会員情報5万285件が閲覧と被害は拡大しています。
コジマの例のように、パスワードリスト攻撃は、システムをしっかりと監視し、防止機能を組み込むことで、早期に検知できます。
残念ながら「三越伊勢丹オンラインストア」はそれが機能しなかったようで、同社より
「新規セキュリティ機器の導入および既存セキュリティ機器のチューニングを実施しセキュリティ対策を強化いたしました」
と対策が発表されています。
パスワードリスト攻撃を防ぐにはどうしたら良いか?
ユーザー側は防ぎようがないパスワードリスト攻撃
ユーザーにとって、パスワードリスト攻撃とは、「過去どこかのサイトで使っていたIDとパスワードが外部に流出して、勝手に使われてしまった」わけで、防ぎようがありません。
またIDやパスワードの流出はあまりに多く、流出を止めることは難しいのが現実です。
毎日国内で発生している情報流出は以下のセキュリティ情報サイトに日ごとに掲載されています。毎日数件ずつ事故が発生しています。
この中にあなたのアカウント情報がたまたま含まれていなかったとしても、いつかは流出してしまう可能性は高いのです。
イオン銀行とイオンクレジットサービス事件を受けてイオンがユーザーに依頼したこと
イオンは今回の事故後、ユーザーへ以下のような対応を依頼しました。
【カード会員さまへのお願い】
不正ログインを防止するため、以下の点にご留意の上、ID・パスワードを変更いただきますようご協力をお願い申し上げます。・他のサービスでご利用になっているID・パスワードを使用しない。
・定期的にパスワードを変更し、過去に使用したものは極力使用しない。
・第三者が容易に推測できるID・パスワードを使用しない。
■出展:インターネットサービス「暮らしのマネーサイト」での不正ログイン発生のお知らせおよびパスワード変更のお願いについて
- 「パスワードの使い回しをやめて」
- 「推測されるような安易なパスワードを使用しない」
という、いつも繰り返されているお願いです。
しかし実情としては、対策はこれしかないのです。
なお、「パスワードの定期的な変更」も書かれていますが、強いパスワードを設定してしまえば、「定期的なパスワードの変更」は必要ありません。
コンピューターの進歩によってパスワードの作り方の基準は変わっています。今では「8文字(8桁)のパスワードは弱くて危険」で「強いパスワードは定期的な変更は不要」が正しい考え方です。どうして8文字では危険なのか?最新の研究を元に、最強のパス[…]
パスワードリスト攻撃にあわないため、ユーザー側ができることは
「パスワードの使い回し」をやめる
対策は最終的には、これしかありません。
各サイト毎にパスワードを確実に変えておけば、流出して不正アクセスされたとしても他のサイトに被害が及ぶことはありません。
パスワードの使い回しはきっぱりとやめて、ひとつのサービスごとに独自の最低10桁以上できれば15桁程度の強いパスワードを使いましょう。
「とても覚えられない!」と誰もがやってしまう「同じパスワードの使い回し」。「パスワードの使い回し」は、事件事故と被害に直結する最悪の行為ですが最新の調査では「パスワードを使い回している人の割合は8割」という衝撃的な結果も出ました。ど[…]
二段階認証(多要素認証)が設定できるアカウントは必ず設定する
仮にパスワードが漏れて使われたとしても、ログインを防ぐのが二段階認証です。
重要なアカウントや決済金融のアカウントのほとんどには、二段階認証が用意されていて、いつもと違う端末やスマホ、場所からログインされると、スマホに通知が来て承認しない限りログインが成功しないようになっています。
仮にパスワードを使い回していても、安全が守られる二段階認証は必ず「ON」にしておきましょう!
アカウントに二段階認証(二要素認証)をしておけば、万一パスワードが他人に使われても不正ログインされる心配ありません。「アカウントの乗っ取り」も起きませんし「セブンペイ事件」も「ドコモdアカウントの不正ログイン」も二段階認証があれば防げました[…]
「パスワードの使い回し」をしないで済むパスワードマネージャーを使う
人間の記憶力には限界があり、いくつもパスワードを覚えるのは不可能です。
記憶に頼らず、安心してパスワードが使用できるパスワードマネージャー(パスワード管理ツール)の使用を検討しましょう!
強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]
自分のメールアドレスやパスワードが流出していないか調べて、対策しよう
自分のパスワードが流出していないか調べることができます。
しかし注意いただきたいのは、「確認チェックのためには、パスワードを相手に伝えるため、決して信頼できないサービスを使ってはいけない」ということです。
もっとも定評ある、大規模な個人情報流出確認サービスは「Have I been Pwned(HIBP)」です。
調べた結果流出が確認できたら、すぐに同じパスワードを使っているサイトだけは変更してしまいましょう!
詳しくは当社ブログの以下記事をご覧ください。
これまで無数の企業やサービスから個人情報が流出していますが、「自分の電話番号やメールアドレス、パスワードの流出をチェックできるサービス」の中で、もっとも信頼でき安全な確認サイトが「HIBP~Have I been Pwned(私はやられてい[…]
まとめ:
アカウントの安全こそデジタル利用の基本です
当サイトではデジタルの安全対策とデジタル終活の必要性をおすすめしています。
しかしすべてのデジタル活用の基本は、パスワードなどアカウントがきちんと管理できていることです。管理されていなければ、継承どころではありません。
ところが、調査によると約8割の方がパスワードの使い回しをしているという結果も出でいます。
だけで安全度は飛躍的に高まります。
毎日発生するパスワードリスト攻撃を教訓に、ぜひご検討ください。