なぜ、パスワードが盗まれるの?――攻撃者がパスワードを盗む手法と対策を分かりやすく解説:セキュリティ、いまさら聞いてもいいですか?(5)(2/4 ページ)
セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第5回のテーマは、「パスワード漏えい」です。「ブルートフォース攻撃」や「辞書攻撃」などの古典的な手法に加えて、「フィッシング」「盗聴」などあらゆる方法でパスワードを窃取しようとする攻撃者に対しては、どのような対策が有効なのでしょうか。さまざまな認証方式の紹介も含めて解説します。
IDとパスワードを入手した後の攻撃者の行動
複雑なパスワードであっても、漏えいしてしまえば元も子もないのですね。でも、このサービスは特に重要な個人情報などを扱うものではないので、乗っ取られても大きな被害はなさそうです。
他のサービスにもログインされているかもしれませんよ。
ブログやSNSなどのアカウントを乗っ取られた場合、勝手に記事などを投稿されたり、個人情報を閲覧されたりする可能性があります。ただ、このようなサービスを乗っ取られただけであれば、深刻な金銭的な被害などは発生しないかもしれません。
しかし、攻撃者は多くの場合、入手したIDとパスワードを使って、続けざまに他のサービスのアカウントも乗っ取ろうと試みます。利用者が他のサービスでも同じIDとパスワードを使用していれば、ログインできるからです。
最近では、メールやSNS、ブログやショッピングサイトなど多くのサービスを利用するユーザーが増えており、全てのサービスのIDとパスワードを覚えておくことが困難になっています。IDやパスワードを変えるのが面倒になり、全部のサービスで同じにしている人も多いのではないでしょうか?
このように、盗み出したIDとパスワードを使って他のサービスにもログインを試みる方法は、「パスワードリスト攻撃」と呼ばれます。ブルートフォース攻撃などと比べて、ログインを試行する回数が少なく、効率的に攻撃できます。
パスワードが同じでも、IDが異なれば問題ないですよね?
メールアドレスなどでログインされてしまう可能性もあるので注意が必要です。
パスワードリスト攻撃では、IDとパスワードのペアを使って攻撃しますので、サービスごとにIDが異なれば問題ないように思えます。しかし、一度あるサービスにログインできればそこからさまざまな個人情報を閲覧できるため、別のIDの手掛かりを見つけることも難しくありません。
例えばメールアドレスです。あるサービスにログインしたとき、ユーザーのメールアドレスを閲覧できることは珍しくありません。Webサービスなどの中にはIDにメールアドレスを使用するものがありますし、ユーザー自身がIDにメールアドレスを使っているケースもあります。従って、メールアドレスが分かれば他のサービスにもログインされてしまう可能性があります。例えばTwitterの場合、メールアドレスをログインに使うことができます(Twitterはそもそもユーザー名が公開されていますので、パスワードさえ分かればログインできてしまいます)。
Quiz:不正なログインを防ぐためにできる対策には何があるでしょうか?
次ページから、すぐに実践可能なパスワードの漏えい対策を解説します。
Copyright © ITmedia, Inc. All Rights Reserved.