リスト型攻撃とは

大量のIDとパスワードの組み合わせを使って、オンラインサービスに不正ログインを試みる攻撃のことです。

悪意のある人物が別のウェブサイトやサービスにおいて、過去に漏洩したIDとパスワードのリストを入手し、そのリストを利用して、標的となるサービスに対して不正アクセスを試みます。

複数のサービスで同じIDとパスワードを使い回している場合、不正ログインをされるリスクが高まります

リスト型攻撃をされた場合に、自分の身を守るのは、

  • 定期的にパスワードを変更を行うこと
  • 同じパスワードを使いまわさないこと
  • 二段階認証の設定などのセキュリティ対策を十分に行う行動

です。
リスト型攻撃について、イメージを持っていただくために、過去にニュースになった事例を3つ挙げてみます。

事例1

2012年に、LinkedInのユーザーアカウントがハッキングされ、そのうち1億1,700万人のパスワードが流出するという事件が発生しました。

ユーザー約1億1,700万人の電子メールとパスワードを含むアカウント情報がダークウェブで売りに出されたようです。

事例

2018年には、Facebookにおいて、5,000万件以上のユーザーアカウントがハッキングされたという事件が発生しました。

攻撃者がユーザーのプロフィールのすべてを閲覧できる状態になっていたようです。

事例

2020年には、Nintendoにおいて、16万件以上のユーザーアカウントがハッキングされたという事件が発生しました。

ゲームソフトなどが不正に購入された可能性があるとのことです。

上記の全ての事件で、
リスト型攻撃によってユーザーのアカウントが
不正ログインされた
と考えられます。

以上のように、大手企業でもリスト型攻撃による不正ログインが発生しています。

大手企業側が厳重なセキュリティーシステムを組んでいたとしても、IDとパスワードでログインをする方式であれば、ユーザー側のID・パスワードの使い回しによって、どうしても企業側が対策できないリスクが発生する状況となっています。

特に、オンラインサービスやSNSなど、多くのユーザーが利用するサービスは、攻撃者が狙いやすいと言えます。

パスワードが弱い(桁数が少ない)、同じパスワードを使い回しているなど、セキュリティに対する意識が低いユーザーが間違いなくターゲットになりやすいですし、被害を被る傾向にあります。

つまり、定期的にログインパスワードを変更しているユーザーは影響を受けないのですが、何年も同じIDとパスワードを使い回しているユーザーは、甚大な影響を受けるということになります。

リスト型攻撃に対するセキュリティ対策としては、以下のようなものがあります。

強固なパスワードの設定

ランダムな文字列や数字を使った複雑なパスワードを設定し、定期的に変更することが重要です。

パスワードの文字列は長ければ長いほど、複雑であれば複雑なほど、セキュリティ効果が高くなります。
同じパスワードを複数のアカウントで使わないようにすることも大切です。

二段階認証の設定

二段階認証とは、ログイン時にパスワードの他に、SMSやアプリを使った認証が必要になるセキュリティ対策のことです。
具体的には、例えばGoogleの2段階認証では、ユーザー名とパスワードを入力した後に、スマートフォンに送信された認証番号を入力することでログインが可能になります。

これにより、リスト型攻撃で収集されたパスワードだけではログインができず、セキュリティ効果が高くなります

マルウェア対策ソフトを導入する

リスト型攻撃に対する対策として、マルウェア対策(ウイルス対策)ソフトを導入することが重要です。
マルウェア対策ソフトは、感染したマルウェアを特定し、駆除する機能を持っています。

また、最新の脅威情報を常に収集し、自動的にアップデートすることで、常に最新の脅威に対応することができます。

データバックアップを定期的に行う

リスト型攻撃によってデータが盗まれた場合、データをバックアップしておくことで、被害を最小限に抑えることができます

定期的にバックアップを行い、物理的にも別の場所に保存しておくことが重要です。
バックアップは、外部のHDDやクラウドストレージなど、本体とは別の場所に保存することが望ましいです。

従業員教育

従業員の教育も重要です。
従業員には、パスワードの強化や、不審なメールやリンクを開かないようにするなど、セキュリティに関する基本的な知識を教えておく必要があります。

また、社内ルールの策定や、定期的なセキュリティ研修なども行うことが望ましいです。

事前にセキュリティ対策を

このように、リスト型攻撃は、1つのパスワードが漏洩しただけで、複数のサービスやアカウントが不正にアクセスされてしまう危険性があるため、事前のセキュリティ対策が欠かせません

  

以下の対策も可能な限り

設定の
見直しが必要です

1.メールの受信拒否やフィルタリング機能の設定

リスト型攻撃の一つの手法として、不特定多数の相手に同じ内容のメールを送りつける「スパムメール」があります。
スパムメールによる攻撃は、メール本文中に悪意のあるリンクや添付ファイルが含まれていることが多いため、開封しないようにすることが重要です。

そのため、スパムフィルタが強力な Gmail を経由させるように設定したり、メールソフトの受信拒否やフィルタリング機能を使い、スパムメールを遮断するように設定することが有効です。

2.多要素認証の導入

多要素認証とは、パスワードだけではなく、SMSによる認証番号や指紋認証、ワンタイムパスワードなどの別の要素を追加して認証する仕組みです。

パスワードだけの認証では、パスワードが漏洩してしまった場合に不正アクセスを受ける可能性がありますが、多要素認証を導入することで、第三者による不正アクセスを防ぐことができます。

多要素認証は、二段階認証が一歩進んだ形式で、複数の認証要素を同時に使用して認証を行う方式です。
例えば、IDとパスワードに加えて、スマートフォンでの指紋認証、音声認識、顔認証などが考えられます。

多要素認証を導入することで、さらに高いセキュリティを実現することができますが、導入コストや利用のしやすさに課題があり、現在もセキュリティ面とユーザビリティの面から、利便性の高い仕組みの開発が継続されています。

  

以上のようなセキュリティ対策を行うことで、リスト型攻撃による被害を最小限に抑えることができます。

しかし、いずれにせよ完全に防ぐことはできないため、万が一、攻撃が発生した場合には、迅速に対応する必要があります。
また、情報漏洩することを前提とした対策を、社内でも話し合っておく必要があります

具体的にできることは?

早期発見と早期対応が重要なため、適切なログの取得やシステム監視を行うことで、異常が検知された場合には迅速に対処することができます

セキュリティの専門家以外の方が簡単にできる対策としては、まずはパスワードを定期的に変更することが挙げられます。

面倒でなかなか定期的に変更するのは難しいのですが、万が一、漏洩がわかった際にも、パスワードを定期的に変更しているだけで防げることもあります

日頃の心がけ次第で防ぐことが可能な「リスト型攻撃」なので、毎月のルーティン作業に組み入れてしまうのも一つの方法となります。

投稿者プロフィール

山口 敦
山口 敦
2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界17年の知識と経験を生かして、大型案件のWebディレクターとしても活動中。 プロフィールはこちら

お問合せフォームはこちら

弊社サービスをご検討いただきありがとうございます。
相見積もりや社内検討用など、概算お見積りのPDFが必要な場合はこちらでご入力・出力できます。

お見積りのご依頼・打ち合わせはZOOM/GoogleMeet/お電話等、オンラインでも対応可能です。全国からお問い合わせを受付けています。
2営業日を過ぎても弊社からの連絡がない場合はメールが届いていませんので、大変お手数をお掛けしますが、下記メールアドレスにご連絡ください。

    お問い合わせの前に下記、ご確認をお願いいたします。

    任意貴社サイトURL

    必須お問い合わせ項目

    必須制作費のご予算はどれくらいですか?

    企画・設計、デザイン、画像・文章の作成、サイト内検索システムの導入等、
    ヒアリングを元にご予算やご希望に応じたお見積りをご提案させて頂きます。
    弊社制作費の費用感につきましてはこちらの記事をご参照ください。

    必須制作目的はどうお考えですか?(複数選択可)

    どこに力を抜きどこに力を入れるのか、
    ご予算とご要望の中から最適なご提案をさせていただきます。

    必須どのような機能が必要ですか?(複数選択可)

    SSL(https://~)対応、ブログ機能、スマホ対応(レスポンシブ)、
    ログイン等セキュリティ対策、ページタグSEOの最適化は標準搭載。

    必須どのような作り方がご希望でしょうか?(複数選択可)

    WordPressでの構築になりますので、お客様のご要望に比較的柔軟にお応えすることが可能です。
    企画ご提案する前に参考にさせていただく項目です。

    必須お問い合わせ内容を教えてください

    必須お名前

    必須フリガナ

    必須メールアドレス

    必須貴社名

    任意電話番号(ハイフン無し・半角数字)