fbpx

実例入り!パスワードリスト攻撃から学ぶパスワード使い回しのリスクとは

膨大なリストからパスワードを盗み出す、パスワードリスト攻撃のイメージ
通販サイトを狙ったセキュリティ犯罪が続いています。
2019年6月にはヤマダとコジマに続きイオンのサイトが狙われ、パスワードリスト攻撃により不正アクセスにより大きな被害を出してしまいました。どうしたら防げるか?
イオンの事故より、デジタル終活を志す私たちが学ぶべき教訓と対策をご説明します。
/ins>

今度はイオンで発生し、被害を出してしまった「パスワードリスト攻撃」とは?

ヤマダは不正侵入、コジマとイオンはパスワードリスト攻撃を受けた

つい先日ヤマダとコジマという大手家電量販店のセキュリティ事故についてお知らせしました。また2019年7月4日にはセブンペイで5000万円もの被害となった大きな事故が発生しました。

ブログ内の関連記事(新しいウィンドウで開きます)

令和を迎えて大手家電量販店「ヤマダとコジマ」の大きなセキュリティ事故が報道されました。さらに7月にはセブンペイでも大きな不正ログイン事件が発生しました。その後も家電量販店、大手デパートの三越伊勢丹と事件は続きます。身近なサービスで発生す[…]

セキュリティー事故の謝罪会見イメージ

ヤマダとセブンペイの事件では、システムの弱いところや、アプリの欠陥を突かれて侵入されて機密情報を奪われてしまいました。

コジマの事件は、それとは全く異なり「悪意の第三者が、入手した不正なIDとパスワードが記載されたリストを使って、顧客になりすまして不正アクセスし、一致したIDとパスワードで不正ログインに成功し顧客情報の一部をのぞき見た」ものです。
このような攻撃を「パスワードリスト攻撃」といいます。

以下のWikipediaの記事「総当たり攻撃」に書かれているように、ハッカー達はパスワードリストの更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。

コジマやイオンでも、こうやって作られたパスワードリストが使われたのでしょう。

「人間が発想するパスワード」はワンパターンな事が多いため、予め言葉が予想される候補を優先的に組み合わせて検証していく辞書攻撃等があり、一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。

~中略~

一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。

■引用:Wikipedia「総当たり攻撃」より

 

コジマは未遂だったが、イオンでは2200万円もの被害

2019年6月13日、イオン銀行とイオンクレジットサービス株式会社から衝撃の発表がありました。
イオンのネットサービス「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」で、パスワードリスト攻撃による「なりすまし不正ログイン」が発生してしまったのです。

コジマは不正ログインを迅速に発見したため、実害は生じませんでしたが、イオンでは数日間発見が遅れて、その間約2000名の顧客情報が悪用され、2200万円もの被害が出てしまいました

2000名の顧客情報が悪用されたということは、つまり犯人が持っていた流出IDとパスワードのリストに、少なくとも2000件はイオンのサイトでそのまま使えるものがあったということです。

つまりこの2000件の持ち主は「パスワードの使い回しをしていたため、なりすまされてイオンで不正アクセスされ、不正ログインされてしまった」ということになりますね。

 

>>次ページ 「イオンの事件」の原因は~使い回しパスワードがどう使われたのか?