fbpx

実例入り!パスワードリスト攻撃から学ぶパスワード使い回しのリスクとは

通販サイトを狙ったセキュリティ犯罪が続いています。
2019年6月にはヤマダとコジマに続きイオンのサイトが狙われ、パスワードリスト攻撃により不正アクセスにより大きな被害を出してしまいました。どうしたら防げるか?
イオンの事故より、デジタル終活を志す私たちが学ぶべき教訓と対策をご説明します。

膨大なリストからパスワードを盗み出す、パスワードリスト攻撃のイメージ

今度はイオンで発生し、被害を出してしまった「パスワードリスト攻撃」とは?

ヤマダは不正侵入、コジマとイオンはパスワードリスト攻撃を受けた

つい先日ヤマダとコジマという大手家電量販店のセキュリティ事故についてお知らせしました。また2019年7月4日にはセブンペイで5000万円もの被害となった大きな事故が発生しました。

ブログ内の関連記事(新しいウィンドウで開きます)

令和を迎えて一ヶ月が過ぎる頃、大手家電量販店「ヤマダとコジマ」の大きなセキュリティ事故が報道されました。さらに7月にはセブンペイでも大きな不正ログイン事件が発生しました。身近な家電量販店やコンビニだからこそ、切実な問題として考えなければ[…]

セキュリティー事故の謝罪会見イメージ

ヤマダとセブンペイの事件では、システムの弱いところや、アプリの欠陥を突かれて侵入されて機密情報を奪われてしまいました。

コジマの事件は、それとは全く異なり「悪意の第三者が、入手した不正なIDとパスワードが記載されたリストを使って、顧客になりすまして不正アクセスし、一致したIDとパスワードで不正ログインに成功し顧客情報の一部をのぞき見た」ものです。
このような攻撃を「パスワードリスト攻撃」といいます。

コジマは未遂だったが、イオンでは2200万円もの被害

2019年6月13日、イオン銀行とイオンクレジットサービス株式会社から衝撃の発表がありました。
イオンのネットサービス「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」で、パスワードリスト攻撃による「なりすまし不正ログイン」が発生してしまったのです。

コジマは不正ログインを迅速に発見したため、実害は生じませんでしたが、イオンでは数日間発見が遅れて、その間約2000名の顧客情報が悪用され、2200万円もの被害が出てしまいました

2000名の顧客情報が悪用されたということは、つまり犯人が持っていた流出IDとパスワードのリストに、少なくとも2000件はイオンのサイトでそのまま使えるものがあったということです。

つまりこの2000件の持ち主は「パスワードの使い回しをしていたため、なりすまされてイオンで不正アクセスされ、不正ログインされてしまった」ということになりますね。

 

【次ページ:「イオンの事件」の原因は~使い回しパスワードがどう使われたのか?】