クイズ「情シス部門が知っておきたいテーマ」
一定回数間違えた場合に、ロックすれば不正ログインは完全に防げる?
2016年8月
不正ログイン対策の1つに、ID/パスワードでログインして、一定回数間違えるとロックする機能があります。有効な対策として古くから利用されていますが、近年は攻撃手法によっては防ぎにくくなるケースが増えています。今回はその理由と対処方法を解説します。
クエスチョン
ID/パスワードでログインして一定回数間違えるとロックする機能があります。以下の代表的な3種類の攻撃手法で、防ぎにくい順に並べたものはどれでしょうか。
(A)辞書攻撃
(B)ブルートフォースアタック
(C)パスワードリスト攻撃
アンサー
(C)➝(A)➝(B)
解説
各攻撃手法の特徴や手法は以下の通りです。
- ブルートフォースアタック
別名「総当たり攻撃」とも呼ばれるように、英数字記号を片っ端に組み合わせて順番に試すことで、ID/パスワードを推測する手法です。
- 辞書攻撃
ID/パスワードに使われがちな単語の一覧を辞書として用意しておき、順番に試すことでID/パスワードを推測する手法です。
- パスワードリスト攻撃攻撃
別のシステムやサービスから何らかの手段で不正に入手したID/パスワードの一覧をリストとして用い、別のシステムやサービスに不正ログインを試みる攻撃手法です。もし、別のシステムやサービスと全く同じID/パスワードを使っているなら、不正ログインに成功されてしまいます。
ブルートフォースアタックと辞書攻撃は古くからある攻撃手法であるのに対して、パスワードリスト攻撃は近年急増している攻撃手法です。最近は1ユーザーが複数のシステムやサービスを平行して利用するケースが増えており、システムやサービスごとに個別のID/パスワードを作成せずに、同じID/パスワードを使い回しているケースが多いのが現状です。特にECサイトなどBtoCのシステムで顕著で、パスワードリスト攻撃による被害が増えています。
それでは、ID/パスワードでログインして一定回数間違えるとロックする機能において、これら3種類の攻撃で実際に防ぎにくい手法はどれなのでしょうか。ブルートフォースアタックは“力任せ”の手法であり、ID/パスワード間違いがすぐに一定回数に達するため、不正ログインはあまり成功しません。辞書攻撃は理論上、ブルートフォースアタックよりも一定回数以内に推測される可能性は高いといえます。もっとも、その差は少なく、「12345678」や「password」など、よほど安易でありがちなパスワードでない限り、不正ログインには成功しないでしょう。
3つの内、最も防ぎにくいのがパスワードリスト攻撃です。 IPA(情報処理推進機構)が2014年に発表した報告書「オンライン本人認証方式の実態調査」によれば、パスワードリスト攻撃に該当する手口「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が1年間で約6倍と急増しています(表1)。また、同報告書には、パスワードリスト攻撃の被害にあったサービス、不正ログインの件数および成功率も掲載されています。いずれもユーザー数の多いサービスであり、不正ログイン成功件数は多いところで20万件を超えるなど、被害の大きさがうかがえるでしょう。
表1 不正アクセス行為に係る犯行の手口の内訳
| 手口分類 | 平成24年 | 平成25年 | ||
|---|---|---|---|---|
| 利用権者のパスワードの設定・管理の甘さにつけ込んだもの | 122件 | 22.9% | 767件 | 79.5% |
| 言葉巧みに利用権者から聞き出した又はのぞき見たもの | 229件 | 43.0% | 64件 | 6.6% |
| 識別符号を知り得る立場にあった元従業員や知人等によるもの | 101件 | 19.0% | 56件 | 5.8% |
| 共犯者等から入手したもの | 22件 | 4.1% | 35件 | 3.6% |
| スパイウェア等のプログラムを使用して識別符号を入手したもの | 29件 | 5.5% | 25件 | 2.6% |
| フィッシングサイトにより入手したもの | 18件 | 3.4% | 9件 | 0.9% |
| 他人から購入したもの | 0件 | 0.0% | 7件 | 0.7% |
| その他 | 11件 | 2.1% | 2件 | 0.2% |
| 合計 | 532件 | 100.0% | 965件 | 100.0% |
パスワードリスト攻撃では、攻撃者は他から不正入手したID/パスワードのリストの上から順に不正ログインを試みます。ユーザー1人に対して一つのパスワードでのみ試みるため、一定回数間違えるとロックする機能が意味をなしません。このように、あくまでもID/パスワードを使い回し、かつ、他のシステムやサービスからの流出が前提となりますが、内部犯行も含めた情報漏洩事故が多発し、使い回しが多い現状を考えると、パスワードリスト攻撃は非常に危険な攻撃手法です。ですので回答としては、パスワードリスト攻撃→辞書攻撃→ブルートフォースアタック、の順で攻撃されるのが防ぎにくい方法になります。
また、パスワードリスト攻撃への対策は、同じID/パスワードを使い回さないことが基本です。ただ、その具体的な手段は、現時点では社員教育やユーザーへの啓蒙といった決め手に欠くものばかりなので、パスワードリスト攻撃の被害がなかなか減っていません。システムの視点では、ID/パスワードに加えてPINや生体認証なども用いた2要素認証を導入するなどの対策が有効でしょう。あわせて、他社のシステムやサービスへの攻撃に利用されないよう、自社からID/パスワードが流出しないためのセキュリティ対策も求められます。
Tips
パスワードリスト攻撃への主な対策はこちら!
- 認証を強化する
IDとパスワードに加えてもう一つ認証手段を追加すれば、パスワードが漏洩しても追加の認証が求められるので、不正アクセスを防ぐことができます。具体的には、Googleアカウントの2段階認証(手順はこちら)や生体認証などの導入が有効です。
- 同じID/パスワードの使い回しを避ける
万が一流出しても複数のID/パスワードを使っていれば、被害は最小限に抑えることができます。ですが、複数のパスワードを記憶するのは簡単なことではないので、電子ファイル(パスワード付き)や管理ツールなどで保持するといいでしょう。