2023年1月、ある企業がリスト型攻撃(パスワードリスト型攻撃・アカウントリスト型攻撃)による不正アクセスの被害にあったと発表しました。これは企業が提供する試験の申し込みを行う Web サーバーに対して不正ログイン発生したというもので、外部で不正に取得されたと推測されるパスワードを使用した、「なりすましによる不正アクセス」が原因だと考えられるようです。
警察庁の調査によると、2017年から2022年にかけて「不正アクセス禁止法」の認知件数が1,202件から2,200件に跳ねあがっています。しかし、不正ログインは世界中で日々発生しており、公表されない・発覚していないケースもあるため実際の数は計り知れません。
本記事では、「リスト型攻撃」による不正アクセスの実態と、その対策についてご紹介します。
サイト訪問者への影響なくクラウド型でかんたん導入。
AI とリスクベースの検出を組み合わせて不正なログイン試行を正確に検出!
リスト型攻撃による不正アクセスを防ぐ WAF、詳細はこちら
リスト型攻撃(パスワードリスト型/アカウントリスト型攻撃)とは?
リスト型攻撃とは、第三者のアカウントとパスワードがセットになった一覧を用いて、Web サービスへの不正アクセスを試みる攻撃です。これは「パスワードリスト型攻撃」や「アカウントリスト型攻撃」、「リスト型アカウントハッキング攻撃」とも呼ばれています。
リスト型攻撃は、たとえ、長くて複雑なパスワードを使っていたとしても、ユーザーが同じ ID とパスワードで複数の Web サービスを利用していた場合に、不正アクセスが成功しやすくなります。そのため、ID やパスワードの使い回しは危険であると言われています。
サイト訪問者への影響なくクラウド型でかんたん導入。
AI とリスクベースの検出を組み合わせて不正なログイン試行を正確に検出!
リスト型攻撃による不正アクセスを防ぐ WAF、詳細はこちら
ID とパスワードは、どのように入手されてしまうのか
ID とパスワードは、どのようにしてハッカーなどの攻撃者に取得されてしまうのでしょうか。
フィッシングから入手
まず、近年問題となっているフィッシングメールや標的型メールを使って情報を取得されてしまうケースがあります。これは、実際に存在するサービスに似せて作られた偽サイトに誘導し、ID とパスワードを実際に入力させて情報を盗み出してリストを作成します。
脆弱な Web サイトを攻撃して情報を入手
Web サイトのセキュリティ状態は千差万別であり、その中からセキュリティ耐性が低い Web サイトがサイバー攻撃の被害に遭うことで、利用者の ID とパスワード が盗まれてリストが作成されます。この場合、利用者による複数の Web サービスにおける ID とパスワードの使いまわしがリスクとなります。
ダークウェブで入手する
フィッシングや脆弱な Web サイトから漏えいした ID とパスワードは、インターネットやダークウェブに公開されることがあります。こうした、過去のデータ漏えい事件によって公開されたリストを攻撃者が入手し、その情報を自動化されたツールを用いてあらゆるサイトでログインできるか試みる「クレデンシャル・スタッフィング攻撃」もよく使われるようになっています。
自分のパスワードが漏えいしているかを確認できるサイト「haveibeenpwned.com」のデータベースだけでも、過去に全世界で起きたデータ漏えい事件によって漏えいしているパスワードが、6億件以上あります。
サイト訪問者への影響なくクラウド型でかんたん導入。
AI とリスクベースの検出を組み合わせて不正なログイン試行を正確に検出!
リスト型攻撃による不正アクセスを防ぐ WAF、詳細はこちら
パスワードリスト攻撃の被害事例
今日においても、パスワードリスト攻撃による被害は頻繁に起こっています。その例を2つ紹介します。
事例1 転職者向け Web サービス
2023年3月、某転職サイトで、外部から不正取得したと考えられる ID(メールアドレス)とパスワードを使用したなりすましによる不正ログイン(パスワードリスト型攻撃)を受け、25万人分のユーザーの履歴書にアクセスされた可能性があることが判明しました。
事例2 ドラッグストアの EC サイト
2022年7月、某ドラッグストアが自社の EC サイトに対して、海外の IP アドレスから不正アクセスを受け、不正にログインされ、会員情報が漏えいしたと発表しました。漏えいした情報は、19,000件を超える顧客の個人情報で、他社サービスから流出した可能性のあるユーザーID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」で行われたと推測されました。
ID とパスワードを使った攻撃の違い
ID とパスワードを使った攻撃にはさまざまなものがあります。同じ名称でも組織や文脈によって使い方が異なる場合もありますが、以下に違いを示します。
ブルートフォース攻撃
パスワード、ログイン認証情報、暗号化されたデータをクラックするために、トライアンドエラーを繰り返す攻撃の総称です。以下にブルートフォース攻撃のバリエーションを紹介します。
総当たり攻撃
文字や数字の組み合わせを順に試す攻撃です。スーツケースのダイヤル式のカギを一つずつ施行する行為と似ています。複雑で長いパスワードが有効なのはこの攻撃に対してです。
辞書攻撃
攻撃者が単語と予測可能な文字列の組み合わせリスト(辞書)を用意して、ブルートフォース攻撃を行います。たとえパスワードが複雑で長くても、攻撃者が容易に想像できそうなパスワードであればヒットしてしまう可能性があります。例)newyorkyankees123 など
クレデンシャル・スタッフィング
先にも述べましたが、漏えいした ID とパスワードを使って別の Web サイトへのログインを試行する攻撃です。ID とパスワードの組み合わせが一意なので検知しにくい攻撃です。パスワードを使いまわすユーザーはリスクが高まります。
リバースブルートフォース攻撃
リバースブルートフォース攻撃は、パスワードを固定して多数の ID を使って、ログインを試行するブルートフォース攻撃です。パスワードの入力エラーの回数制限をしているが、ID のエラー回数は制限していない Web サービスを狙う形で流行しました。
パスワードスプレー攻撃
少数の一般的なパスワードのリストを使用して、多数のアカウントに対してトライアンドエラーする攻撃です。攻撃者はユーザー名のリストを取得してから、組織のパスワードポリシーに合致する推測しやすいパスワード(例:Qwerty123@(大文字、小文字、数字、記号を使っており10文字ある))を試行して手持ちのユーザー名にログインを試みます。
サイト訪問者への影響なくクラウド型でかんたん導入。
AI とリスクベースの検出を組み合わせて不正なログイン試行を正確に検出!
リスト型攻撃による不正アクセスを防ぐ WAF、詳細はこちら
情報漏えい事件、発生の原因と目的
Verizon社が発表するレポートによると、情報漏えい事件の44.7%はログイン情報の窃取と悪用により発生し、データ漏えい事件の約60%に Web アプリケーションが何らかの形で関わっているとされています(2023 Data Breach Investigations Report より)。この資料によると、攻撃の目的は金銭目的が94.6%と最も多く、被害者の72%は大手の企業であることが特徴的だと言えます。
金銭的な目的でよく見る例としては、フィッシングメールによって窃取されたログイン情報を使って不正ログインが発生し、クレジットカードやポイントが悪用されてしまうケースです。このような事件に注目し、相談窓口を立てている警察署もあるようです。
このようなリスト型攻撃による不正ログインの対策としては、パスワードが悪用されないようにパスワードマネージャを使うなど、利用者がこまめにパスワードを変更することがあげられます。しかし、それを一人一人確実に実行させることは困難です。そのため、Web アプリケーションを運用する事業者側でセキュリティ対策を実施する必要があります。
サイト訪問者への影響なくクラウド型でかんたん導入。
AI とリスクベースの検出を組み合わせて不正なログイン試行を正確に検出!
リスト型攻撃による不正アクセスを防ぐ WAF、詳細はこちら
リスト型攻撃を防ぐ WAF と、機械学習を用いたおすすめ機能
先ほどのレポートにもあったとおり、情報漏えい事件では Web アプリケーションに起因するものが半数以上あります。その理由の1つとして、一般的な Web サイトで使用されるソースコードはサードパーティによって提供されるものも多く、その中にはサイト運営者が把握しきれない脆弱性が含まれる可能性があることなどが考えられます。
リスト型攻撃などの情報漏えいを防ぐには堅牢な WAF(Web アプリケーションファイアウォール)製品を導入する必要があります。しかし、それだけでは6億を超える漏えいされた ID・パスワードの悪用を検知できるとは言い切れません。
そこで当社では、Gartner社に9年連続 WAF のリーダーとして位置づけられている Imperva 社の Imperva App Protect にて、オプション提供される ATO(Account Take Over)機能の活用をおすすめしています。ATO 機能では、ログインページに対するリスト型攻撃のアカウントハッキングをリスクベースで可視化し、攻撃を緩和できます。
また、機械学習を用いた検知技術によって「アクセスしているのは人とボットのどちらか」を判断し、ビッグデータの解析によって「どのアカウントがハッキングされ、一般公開されているか」を確認することも可能です。この機能を利用することによって、リアルタイムで自社サイトに対するアカウントリスト攻撃を確認し、ただちにセキュリティ対策をとることができます。
サイト訪問者への影響なくクラウド型でかんたん導入。
AI とリスクベースの検出を組み合わせて不正なログイン試行を正確に検出!
リスト型攻撃による不正アクセスを防ぐ WAF、詳細はこちら
クラウド型 WAF Imperva App Protect の導入は、SBテクノロジーにお任せください
当社では、Imperva App Protect をご提供しています。
暗号資産(仮想通貨)取引所を運営する TaoTao株式会社様の導入事例 も公開しておりますので、ぜひご覧ください。
また、WAF 導入をご検討の際は、まずはぜひお気軽にご相談ください。
関連ページ
Imperva Cloud WAF 詳細
|