パスワードリスト攻撃とは
パスワードリスト攻撃とは、過去に流出したIDとパスワードの組み合わせ(認証情報)を使って、他のサービスへの不正ログインを試みるサイバー攻撃の一種です。「リスト型攻撃」とも呼ばれ、攻撃者は入手した膨大な認証リストを用い、自動ツールを使って短時間で多数のアカウントにログインを試みます。
この攻撃は、同じID・パスワードを複数のサービスで使い回しているユーザーが多いことを悪用したものです。一度情報が漏えいすると、まったく別のサイトやシステムでも不正アクセスを受ける可能性があります。個人だけでなく、企業の情報資産や顧客データが狙われるケースもあり、深刻な被害につながる恐れがあります。
なお、パスワードリスト攻撃はユーザーの認証情報に着目した攻撃であるのに対し、SQLインジェクションやクロスサイトスクリプティング(XSS)といった攻撃は、Webアプリケーションの脆弱性を突くタイプであり、攻撃手法の性質が異なります。こうした違いを理解することで、より適切なセキュリティ対策が可能になります。以下の記事も参考にして、それぞれの攻撃手法について理解を深めてみてください。
パスワードリスト攻撃の仕組み
パスワードリスト攻撃は、以下のような流れで実行されます。
- 1.情報漏えいリストの入手
- 攻撃者は、過去の情報漏えいやダークウェブ上に流通している認証情報のリストを収集。
- 2.ログイン先のターゲットを決定
- 攻撃対象とするWebサービスや企業のシステムを選定。
- 3.自動ツールでログイン試行
- 取得したIDとパスワードのリストを用い、自動化ツールで一斉にログインを試みる。短時間に数千~数万件の試行が可能。
- 4.ログイン成功時の不正利用
- 認証に成功したアカウントを使って、個人情報や機密データの閲覧、金銭的被害などを引き起こす。
このように、パスワードリスト攻撃は「既に流出している情報」と「自動化されたツール」によって、効率的かつ大量に実行されるのが特徴です。正しいIDとパスワードの組み合わせを使用しているため、システム側で通常のログインと区別しにくいという問題もあります。
パスワードリスト攻撃の被害事例
ここでは、実際に発生したパスワードリスト攻撃による被害事例を紹介します。いずれも外部で流出したID・パスワードを悪用されたものであり、パスワードリスト攻撃の深刻性を物語っています。
ユニクロ・GUオンラインストアへの不正アクセス
2019年5月、株式会社ファーストリテイリングは、ユニクロおよびGUのオンラインストアにおいて約46万件のアカウントに対する不正ログインが確認されたと発表しました。第三者が他社サービスから入手したID・パスワードを悪用し、不正にアクセスする「パスワードリスト攻撃」によるものでした。
不正アクセスにより、氏名・住所・電話番号・メールアドレス・購入履歴・一部のクレジットカード情報が閲覧された可能性があるとされています。ファーストリテイリングは、対象アカウントに対するパスワードのリセットやセキュリティ対策の強化を実施しました。
参考:「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて|株式会社ファーストリテイリング
dアカウントへのパスワードリスト攻撃
2018年8月、株式会社NTTドコモは、同社が提供する「dアカウント」に対して、第三者によるパスワードリスト攻撃が行われたことを発表しました。約20万件のアカウントに対して不正なログイン試行があり、最大で122件のアカウントで実際に不正ログインが行われたことが確認されています。
攻撃者は、外部のサービスなどから流出したID・パスワードの組み合わせを利用し、不正ログインを試みたとされます。ドコモでは、被害拡大防止のため、該当アカウントのパスワード初期化や、セキュリティ強化の取り組みを進めました。
パスワードリスト攻撃対策としてのWAF
WAFには、このようなパスワードリスト攻撃の対策機能があります。これにより、上記のような被害が起こるリスクを軽減することができます。
まずはユーザーにパスワード変更を推進する
パスワードリスト攻撃を防ぐ最も簡単な方法が、ユーザーに、他のサイトで使っているIDとパスワードを使わせないということです。現在他のサイトで使っているID・パスワードを自社サイトでも転用しているユーザーに対しては、パスワードリスト攻撃の脅威を警告し、変更を促しましょう。
WAFを導入し、同じIPアドレスからのアクセスを検知する
パスワードリスト攻撃を行う攻撃者は、効率の点から手入力でのログインでなく、攻撃用のツールを使った連続ログインを試みます。そこで、同じIPアドレス(端末)から連続して異なるアカウントでの大量ログインを検知した際、ID・パスワードが実際に存在するか否かに関わらず強制的にログイン失敗画面に遷移させるという方法が有効でしょう。
WAFではこのようなログインの自動化を防ぐ機能がありますので、ツールによる攻撃を防ぐことが可能です。
最近では、「私はロボットではありません」というような確認項目が追加されているサイトも増えてきており、パスワードリスト攻撃への対策が進んでいます。
以下の記事ではWAFについて解説し、実際の製品例まで紹介していますので、参考にしてみてください。
まとめ
WAFによってパスワードリスト攻撃の対策ができることを紹介してきました。WAFはパスワードリスト攻撃だけでなく、その他にも多くの攻撃からWebアプリケーションを守るセキュリティシステムです。しかし、ただ導入するだけではその効果は得られません。
まずは資料請求を行い自社にあったWAFを選定した上で万全のセキュリティ体制を作っていきましょう。
