SBTのスベテ

パスワードリスト型攻撃による、不正アクセスを防ぐ方法とは?

大塚 パトリック

2021年2月、ある企業がリスト型攻撃(パスワードリスト型攻撃・アカウントリスト型攻撃)による不正アクセスの被害にあったという事件が大きく報道されました。これは約21万人の個人情報を有する Web サーバーに対して不正ログイン発生したというもので、外部で不正に取得されたと推測されるパスワードを使用した、「なりすましによる不正アクセス」が原因だと考えられるようです。

警察庁の調査によると、2015年から2019年にかけて「不正アクセス禁止法」の検挙件数が373件から816件に跳ねあがっています。しかし、不正ログインは世界中で日々発生しており、公表されない・発覚していないケースもあるため実際の数は計り知れません。

本記事では、「リスト型攻撃」による不正アクセスの実態と、その対策についてご紹介します。




リスト型攻撃による不正アクセスを防ぐ WAF、詳細はこちら



リスト型攻撃(パスワードリスト型/アカウントリスト型攻撃)とは?

リスト型攻撃とは、第三者のアカウントとパスワードがセットになった一覧を用いて、Web サービスへの不正アクセスを試みる攻撃です。これは「パスワードリスト型攻撃」や「アカウントリスト型攻撃」とも呼ばれています。

リスト型攻撃は、ユーザーが同じ ID とパスワードで複数の Web サービスを利用していた場合に、不正アクセスが成功しやすくなります。そのため、ID やパスワードの使い回しは危険であると言われています。

リスト型攻撃(パスワードリスト型/アカウントリスト型攻撃)とは?


リスト型攻撃による不正アクセスを防ぐ WAF、詳細はこちら



ID とパスワードは、どのように入手されてしまうのか

ID とパスワードは、どのようにしてハッカーなどの攻撃者に取得されてしまうのでしょうか。

一般的な手法は、インターネットが普及する頃から使われている「ブルートフォース攻撃(総当たり攻撃)」や「辞書攻撃(ディクショナリアタック)」と呼ばれる方法です。これは、どちらもプログラムを使ってあらゆるパスワードを順番に試す手法です。また、近年問題となっているフィッシングメールや標的型メールを使って情報を取得されてしまうケースもあります。これは、実際に存在するサービスに似せて作られた偽サイトに対し、ID とパスワードを実際に入力させて情報を盗み出します。

他にも、過去のデータ漏えい事件によってインターネットやダークウェブに公開された ID とパスワードのリストを攻撃者が入手し、その情報を自動化されたツールを用いてあらゆるサイトでログインできるか試みる「クレデンシャル・スタッフィング攻撃」もよく使われるようになっています。

自分のパスワードが漏えいしているかを確認できるサイト「haveibeenpwned.com」のデータベースだけでも、過去に全世界で起きたデータ漏えい事件によって漏えいしているパスワードが、6億件以上あります 。

haveibeenpwned.com


リスト型攻撃による不正アクセスを防ぐ WAF、詳細はこちら



情報漏えい事件、発生の原因と目的

Verizon社が発表するレポートによると、情報漏えい事件の37%はログイン情報の窃取と悪用により発生し、データ漏えい事件の43%に Web アプリケーションが何らかの形で関わっているとされています(2020 Data Breach Investigations Report より)。この資料によると、攻撃の目的は金銭目的が86%と最も多く、被害者の72%は大手の企業であることが特徴的だと言えます。

金銭的な目的で身近な例としては、フィッシングメールによって窃取されたログイン情報を使って不正ログインが発生し、クレジットカードやポイントが悪用されてしまうケースです。このような事件に注目し、相談窓口を立てている県警もあるようです。

このようなリスト型攻撃による不正ログインの対策としては、パスワードが悪用されないようにパスワードマネージャを使うなど、利用者がこまめにパスワードを変更することがあげられます。しかし、それを一人一人の個人に確実に実行させるのは難易度が高いのが現状です。そのため、Web アプリケーションを運用する事業者側でセキュリティ対策を実施する必要があります。


リスト型攻撃による不正アクセスを防ぐ WAF、詳細はこちら



リスト型攻撃を防ぐ WAF と、機械学習を用いたおすすめ機能

先ほどのレポートにもあったとおり、情報漏えい事件では Web アプリケーションに起因するものが約半数あります。その理由の1つとして、一般的な Web サイトで使用されるソースコードはサードパーティによって提供されるものも多く、その中にはサイト運営者が把握しきれない脆弱性が含まれる可能性があることなどが考えられます。

リスト型攻撃などの情報漏えいを防ぐには堅牢な WAF(Web アプリケーションファイアウォール)製品を導入する必要はあります。しかし、それだけでは6億を超える漏えいされた ID・パスワードの悪用を検知することができるとは言い切れません。

そこで当社では、Gartner社に7年連続 WAF のリーダーとして位置づけられている Imperva 社の Imperva Cloud WAF にて、オプション提供される ATO(Account Take Over)機能の活用をおすすめしています。ATO 機能では、ログインページに対するリスト型攻撃のアカウントハッキングをリスクベースで可視化し、攻撃を緩和することができます。

また、機械学習を用いた検知技術によって「アクセスしているのは人とボットのどちらか」を判断し、ビッグデータの解析によって「どのアカウントがハッキングされ、一般公開されているか」を確認することも可能です。この機能を利用することによって、リアルタイムで自社サイトに対するアカウントリスト攻撃を確認し、ただちにセキュリティ対策を取ることができます。


リスト型攻撃による不正アクセスを防ぐ WAF、詳細はこちら



Imperva Cloud WAF の導入は、SBテクノロジーにお任せください

当社では、Imperva Cloud WAF をご提供しています。
暗号資産(仮想通貨)取引所を運営する TaoTao株式会社様の導入事例 も公開しておりますので、ぜひご覧ください。

また、WAF 導入をご検討の際は、まずはぜひお気軽にご相談ください。



関連ページ

Imperva Cloud WAF 詳細
Imperva Cloud WAF 資料請求・お問い合わせ
Imperva Cloud WAF の導入事例(TaoTao株式会社様)

【総合】お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録