クイズ「情シス部門が知っておきたいテーマ」
一定回数間違えた場合に、ロックすれば不正ログインは完全に防げる?
2016年8月
不正ログイン対策の1つに、ID/パスワードでログインして、一定回数間違えるとロックする機能があります。有効な対策として古くから利用されていますが、近年は攻撃手法によっては防ぎにくくなるケースが増えています。今回はその理由と対処方法を解説します。
クエスチョン
ID/パスワードでログインして一定回数間違えるとロックする機能があります。以下の代表的な3種類の攻撃手法で、防ぎにくい順に並べたものはどれでしょうか。
(A)辞書攻撃
(B)ブルートフォースアタック
(C)パスワードリスト攻撃
アンサー
(C)➝(A)➝(B)
解説
各攻撃手法の特徴や手法は以下の通りです。
- ブルートフォースアタック
別名「総当たり攻撃」とも呼ばれるように、英数字記号を片っ端に組み合わせて順番に試すことで、ID/パスワードを推測する手法です。
- 辞書攻撃
ID/パスワードに使われがちな単語の一覧を辞書として用意しておき、順番に試すことでID/パスワードを推測する手法です。
- パスワードリスト攻撃攻撃
別のシステムやサービスから何らかの手段で不正に入手したID/パスワードの一覧をリストとして用い、別のシステムやサービスに不正ログインを試みる攻撃手法です。もし、別のシステムやサービスと全く同じID/パスワードを使っているなら、不正ログインに成功されてしまいます。
ブルートフォースアタックと辞書攻撃は古くからある攻撃手法であるのに対して、パスワードリスト攻撃は近年急増している攻撃手法です。最近は1ユーザーが複数のシステムやサービスを平行して利用するケースが増えており、システムやサービスごとに個別のID/パスワードを作成せずに、同じID/パスワードを使い回しているケースが多いのが現状です。特にECサイトなどBtoCのシステムで顕著で、パスワードリスト攻撃による被害が増えています。
それでは、ID/パスワードでログインして一定回数間違えるとロックする機能において、これら3種類の攻撃で実際に防ぎにくい手法はどれなのでしょうか。ブルートフォースアタックは“力任せ”の手法であり、ID/パスワード間違いがすぐに一定回数に達するため、不正ログインはあまり成功しません。辞書攻撃は理論上、ブルートフォースアタックよりも一定回数以内に推測される可能性は高いといえます。もっとも、その差は少なく、「12345678」や「password」など、よほど安易でありがちなパスワードでない限り、不正ログインには成功しないでしょう。
3つの内、最も防ぎにくいのがパスワードリスト攻撃です。 IPA(情報処理推進機構)が2014年に発表した報告書「オンライン本人認証方式の実態調査」によれば、パスワードリスト攻撃に該当する手口「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が1年間で約6倍と急増しています(表1)。また、同報告書には、パスワードリスト攻撃の被害にあったサービス、不正ログインの件数および成功率も掲載されています。いずれもユーザー数の多いサービスであり、不正ログイン成功件数は多いところで20万件を超えるなど、被害の大きさがうかがえるでしょう。
表1 不正アクセス行為に係る犯行の手口の内訳
手口分類 | 平成24年 | 平成25年 | ||
---|---|---|---|---|
利用権者のパスワードの設定・管理の甘さにつけ込んだもの | 122件 | 22.9% | 767件 | 79.5% |
言葉巧みに利用権者から聞き出した又はのぞき見たもの | 229件 | 43.0% | 64件 | 6.6% |
識別符号を知り得る立場にあった元従業員や知人等によるもの | 101件 | 19.0% | 56件 | 5.8% |
共犯者等から入手したもの | 22件 | 4.1% | 35件 | 3.6% |
スパイウェア等のプログラムを使用して識別符号を入手したもの | 29件 | 5.5% | 25件 | 2.6% |
フィッシングサイトにより入手したもの | 18件 | 3.4% | 9件 | 0.9% |
他人から購入したもの | 0件 | 0.0% | 7件 | 0.7% |
その他 | 11件 | 2.1% | 2件 | 0.2% |
合計 | 532件 | 100.0% | 965件 | 100.0% |
パスワードリスト攻撃では、攻撃者は他から不正入手したID/パスワードのリストの上から順に不正ログインを試みます。ユーザー1人に対して一つのパスワードでのみ試みるため、一定回数間違えるとロックする機能が意味をなしません。このように、あくまでもID/パスワードを使い回し、かつ、他のシステムやサービスからの流出が前提となりますが、内部犯行も含めた情報漏洩事故が多発し、使い回しが多い現状を考えると、パスワードリスト攻撃は非常に危険な攻撃手法です。ですので回答としては、パスワードリスト攻撃→辞書攻撃→ブルートフォースアタック、の順で攻撃されるのが防ぎにくい方法になります。
また、パスワードリスト攻撃への対策は、同じID/パスワードを使い回さないことが基本です。ただ、その具体的な手段は、現時点では社員教育やユーザーへの啓蒙といった決め手に欠くものばかりなので、パスワードリスト攻撃の被害がなかなか減っていません。システムの視点では、ID/パスワードに加えてPINや生体認証なども用いた2要素認証を導入するなどの対策が有効でしょう。あわせて、他社のシステムやサービスへの攻撃に利用されないよう、自社からID/パスワードが流出しないためのセキュリティ対策も求められます。
Tips
パスワードリスト攻撃への主な対策はこちら!
- 認証を強化する
IDとパスワードに加えてもう一つ認証手段を追加すれば、パスワードが漏洩しても追加の認証が求められるので、不正アクセスを防ぐことができます。具体的には、Googleアカウントの2段階認証(手順はこちら)や生体認証などの導入が有効です。
- 同じID/パスワードの使い回しを避ける
万が一流出しても複数のID/パスワードを使っていれば、被害は最小限に抑えることができます。ですが、複数のパスワードを記憶するのは簡単なことではないので、電子ファイル(パスワード付き)や管理ツールなどで保持するといいでしょう。
クイズ「情シス部門が知っておきたいテーマ」
- なぜ迷惑メールは増え続けるのか?
- 設定してはいけないパスワードのタイプは?
- 一定回数間違えた場合に、ロックすれば不正ログインは完全に防げる?
- MITB攻撃で実際にあう被害は?
- 遠隔操作ウィルスによる犯罪は?
- セキュリティの新しい国家資格は?
- Miraiウイルスの主な感染先は?
- セキュリティ研修はどう実施すべき?
- 標的型攻撃メールの被害を受ける要因は?
- 内部不正による情報漏えいはどんな立場の人が多い?
- 働き方改革を加速させるフリーWi-Fi。便利だけど、どんな脅威がある?
- AIとIoTのエンジニア育成に注力する省庁は?
- 大手コンビニに導入予定の認証技術は?
- 今年最も懸念されるセキュリティの脅威は
- スマホがウイルスに感染? その兆候とは
- ヤフーが新たに採用した認証方式とは?
- QRコード決済が乱立。解決を主導する省庁は?
- あと数年で何が起こる!? ITシステム「2025年の崖」とは?
- 今後は実施が必須!? 「サイバー防災訓練」とは
- ブラウザに「これってサポート詐欺?」と思う警告画面が出てきたら?
- フェイスブックが新たに発表した仮想通貨の名称は?
- 被害急増中! モバイル利用者を狙うフィッシング攻撃の手口とは?
- 変化するマルウエア。2019年秋頃から被害が増えているのは?
- Webブラウザに未修正の脆弱性が! どんな攻撃を受ける?
- 企業の無線LANのセキュリティ対策で正しくないのは?
- IPAの情報セキュリティ10大脅威。2020年の個人部門1位は?
- スマホを水中に落とした!水から引き上げたらまずやるべきなのは?
- メガネ型のウェアラブルデバイス、○○グラスとは?
- 急増するウイルスへの感染を狙う攻撃メール。ウイルス感染対策はどうする?
- 2020年秋から攻撃急増!「Zerologon」とはどんな攻撃?
- パスワード付きZIPファイル“PPAP”はなぜ廃止になった?
- 知らぬ間に、Googleに保存していた大切なデータが消えている!?
- IoTと何が違う!? 次世代のトレンド「IoB」とは
- パスワード流出で何が起きる? どう防げばいい?
- 手をかざすだけで触っている感覚が得られる技術とは?
- 今の時代、プログラミングの知識ゼロでもアプリを開発できる!?
- 最近トレンドの「何も信頼しない」が前提のセキュリティとは?
- これなら安全! 2種類以上の方法による認証方式とは?
- 何が違うの? 電子契約に欠かせない「電子印鑑」と「電子署名」とは
- アプリケーションを誰でも使いこなせるようにする仕組みとは?
- 行政サービスを国民一人ひとりが享受できることを目指し、政府が進めているデジタル化の取り組みとは?
- Windows 10のサポート終了はいつ? 何が困る?
- 最先端技術を活用して未来都市を実現する日本政府の構想とは?
- 本人と見分けつかない!? 偽動画によるビジネス詐欺に注意