fbpx

「パスワードの使い回しがいかに危険なのか?」リスクと対策を知る

誰もがついやっている「同じパスワードの使い回し」。どうしてパスワードの使い回してはいけないのか? 危険性を具体的な事件の実例と共にご説明します。「パスワードの使い回し」は、被害に直結するデジタルの使い方では最悪の行為です。きっぱりやめましょう。
/ins>

軽い気持ちでやっている「パスワードの使い回し」には致命的なリスクが隠れている

パスワードが流出したらどんな危険がある?

毎日のように発生しているパスワードの流出事件。

「オンラインサービスを登録したまま」だったり、「使わないで放置したIDとパスワード」などのアカウント情報は、いつの間にか流出してしまっています。

パスワードが流出したらどうなってしまうのでしょう?

  1. 流出したパスワードはリスト化されて、闇市場(ダークウェブ)で売買され犯罪者の間に流通する
  2. パスワードリストを手に入れた犯罪者は、さまざまなサイトやサービスに対して、リストを使って不正ログインを試みる。
  3. サイトやサービスのアカウントと、リストのパスワードが一致してしまったユーザーが不正ログインの被害を受ける

ことになります。

流出したパスワードリストは更新され精度が高まる

不正に入手された、ユーザーの「氏名、住所、生年月日、口座、暗証番号、パスワードなど」は、セットにしてリスト化しされます。

このような個人情報が集約された情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。

犯罪者にとって、パスワードリスト(Fullz)は

「大きな収益を生む」

「ハッカーとしての自分のテクニックを誇示できる」

ため、非常に重要なものとされ、更新が続けられて、ますます情報の精度が向上しています。

毎日起きている「不正ログイン」とか「不正引き落とし」の原因のほとんどはここにあります。

 

毎日発生しているセキュリティ事故

下記はセキュリティ事件の発生を毎日知らせてくれるセキュリティ情報サイトのトップページです。

公表されているだけでも、個人情報漏えい事件や事故は「ほぼ毎日」発生していることがお分かりになるでしょう。

流出元は、個人や中小の業者から、公的機関、有名なIT企業まで多種多様です。超大手IT企業からも流出が起きてしまうのですから、流出は止めようありません!

「IDやパスワードは流出してしまうもの」と覚悟することが正しい

ここではっきりと断言しますが、アカウントの流出を止めることは、現状不可能です。

攻撃と防御側のいたちごっこはもちろんですが、それ以上にシステムを作るのも、機密を守るのも人間です。

人のやることですから、うっかりミスや、ルールを守らないずさんな作業が起こりがちです。
大事なデータが入ったPCやメモリーを紛失したり、置き忘れることも多発しています。

流出したパスワードと同じパスワードを他のサイトやサービスで使っていたら、不正侵入されるのは、ある意味「当たり前」なのです

 

パスワードの使い回しが悪用される「パスワードリスト攻撃」とは?

ブログラムを使い、大量のパスワードで次々にログインを繰り返す攻撃方法

不正に入手されたユーザーの氏名、住所、生年月日、口座、暗証番号、パスワードなどをセットにしてリスト化した情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。

攻撃者は手に入れたFullz」(フルズ)よりIDと「複数サイトで使われているパスワードのリスト」から総当たりでログインを試みます。

これを「パスワードリスト攻撃」または「クレデンシャルスタッフィング(Credential Stuffing)攻撃」と呼びます。

入力作業はもちろん手でやるのではなく、ブログラムを使って高速に行います。

今ではBOTと呼ばれる「処理を指定すると自動的に繰り返して行うブログラムを使うこと」が普通です。BOTとはそれほど難しいものではなく、少々のコンピュータースキルがあれば誰でもできてしまいます

BOTにとってはリストが何万件あっても平気で、IDとパスワードの組み合わせを、一秒間に数百~数万回という頻度で、数万~数億回という回数で総当たりで試して「当たりのIDとパスワード」を見つけてしまうのです。

しかもBOTはさらに進化し、企業側が不正に気がつかないように、数万にも上る偽装送信元とパスワードのリストを一回ごとに新しく組み合わせてログインし、不正ログインでないように見せかけること(Low & Slow)までします。

膨大なリストの中に、運悪くあなたがたまたま使いまわししたID、パスワードが当たってしまえば、やすやすと侵入を許すことになってしまいます。

一説では、「単語の羅列のリスト」を元にした攻撃に比べ、「流出したパスワードのリスト」攻撃は100倍以上成功率が高いと言われています。

 

「盗まれたパスワードのリスト」は更新され精度が高まっていく

個人情報の流出が起きると、悪意のハッカーたちはリストを作って攻撃を試みます。

さらにあるサイトで成功したパスワードを集めて「より成功率の高いリスト」が作られて、闇市場でアップデートされながら売られ続けていくのです!

この繰り返しが、毎日のように発生する不正ログイン事件の原因です。

日本の一流企業でも、流出したパスワードを悪用された不正ログイン事件を引き起こしています。

また以下のWikipediaの記事「総当たり攻撃」に書かれているように、ハッカー達はパスワードリストの更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。

「人間が発想するパスワード」はワンパターンな事が多いため、予め言葉が予想される候補を優先的に組み合わせて検証していく辞書攻撃等があり、一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。

~中略~

一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。

■引用:Wikipedia「総当たり攻撃」より

IDはそもそもばれてしまうもの

アカウントを構成するものには「ID」もありますが、オンラインサービスのIDは、そもそもメールアドレスが使われることが多く、「外からIDがわかってしまうサービス」も多いですし、そもそもパスワードとセットで流出したら隠しようがありません。

 

パスワードリスト攻撃の現状

毎日のように多くの被害が発生

パスワードリスト攻撃はポピュラーな攻撃で、大手企業でも多数の被害例が出ています。

下記のリストを見ると、「あまりの事件の多さ」「大手と言われる企業が多数被害を受けている」ことにも衝撃を受けます。

これはしっかりした企業や組織から報告や報道されたものであり、無名の企業や個人によるパスワード流出を含めた実際の件数ははるかに多いものと思われます。

身近な人によるパスワード盗用も多い

パスワードリスト攻撃は企業を狙ったものだけでありません。

多くのアカウントの不正利用は、家族や友人、恋人、身近な人によって軽い気持ちで引き起こされていることは忘れてはなりません。

「あなたのことを知る人物が、あなたの情報を元にパスワードを推測し、あなたのアカウントに侵入を試みる」ことはしばしばあります。

このような攻撃方法を「ソーシャルエンジニアリング」といいます。

また、「芸能人、有名人のSNSカウントの乗っ取り事件」が報道されますが、ほとんどは「誕生日など推測可能なパスワードをつけていた」ため推測で使われてしまったことが原因です。

ブログ内の関連記事(新しいウィンドウで開きます)

 2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]

socialengineering ソーシャルエンジニアリングのイメージ

私も「パスワードを使い回したおかげ」で危ない目にあってしまった

ずいぶん気をつけてアカウントを管理していた私も、2018年秋に「ドコモのdアカウント」を攻撃され、怖い思いをしました。

たまたま事前に二段階認証を設定していたため被害は免れましたが、危ないところでした。

ぜひ以下の体験談もご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

身に覚えがない「dアカウントでログインした方に送信しています」とか「dアカウントのセキュリティコード確認」などの通知メッセージを受け取った方はいませんか?2018年の秋。dアカウントのパスワードを使い回していた私は、不正アクセスされて不[…]

フィッシング犯人より「dアカウント セキュリティコードの入力を求める」SMS

 

まとめ:
パスワードの使い回しはやめて正しくパスワードを使うしかない

「1つのアカウントには固有のパスワードを使う」ことは絶対守るべき原則です。
しかも「すべてのアカウントにもれなく」設定することが必要です。

それをしないと、結局日常のデジタル使用時に大きなトラブルを受ける多能性もありますし、万一の際に大切な方にデジタル遺産やデジタル遺品を残したときに、大きな迷惑と悲しみをかけてしまうことにもつながります。

「そんなこと不可能だろう!」  

「でも、自分の身を守るにはするしかないのです」  

「じゃあどうしたらいいんだよ?」

当サイトで「順を追って」ご説明しますが、大切なポイントは

  1. 使い回しをやめる
  2. 強いパスワードの作り方を知る
    ブログ内の関連記事(新しいウィンドウで開きます)

    いくら安全でも、記憶できないパスワードは使えません。異常気象や地震、新型コロナなど、思いもかけないリスクが高まった今日、安全性と利便性を両立された「最強のパスワード管理の方法」を具体的にご説明します。安全なパスワードは作っても、どう[…]

  3. パスワードマネージャー(パスワード管理ツール)を使用する
    ブログ内の関連記事(新しいウィンドウで開きます)

    強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]

ことが最善の対策です。

日々攻撃が増加している今こそ、安全なパスワード作りに取り組みましょう!