図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

パスワードリスト攻撃 他のサービスから盗み出したIDとパスワードを利用して不正アクセス

投稿日:2017年3月12日 更新日:

SNSなどのウェブサービスで不正アクセスが頻繁に発生していますが、その多くはパスワードリスト攻撃による不正アクセスです。ここではパスワードリスト攻撃について解説します。

パスワードリスト攻撃

攻撃者が一番最初に狙うデータはアカウント情報です。アカウント情報とパスワードさえあれば、ある程度低リスクで目的の情報まで近づく事ができます。パスワードリスト攻撃とは、攻撃者が他のサービスから入手したIDとパスワードを利用して、攻撃対象のサービスにログインを試みる攻撃の事です。

パスワードリスト攻撃の解説

攻撃者は比較的セキュリティの弱いサービスAの脆弱性などを利用してIDとパスワード(ハッシュ値)を取得します。それをリスト化してメインの攻撃対象であるサービスB、C、Dに利用してみるのです。最近のWebサービスではメールサービスなどを利用したシングルサインオンを利用しているサービスもありますし、ユーザも複数のサービスを利用する際に同じID、同じパスワードを利用する傾向にありますので、この手法は以外と効果的のようです。

パスワードリスト攻撃への対策

最近の例としては、サイバーエージェントが提供するAmebaにたいしてパスワードリスト攻撃がありました。不正ログイン試行数は約38,000,000回、実際に不正ログインされたアカウント数は約600,000件のようです。ではパスワードリスト攻撃に対してはどのように対策をしていけばよいのでしょうか?

この種の攻撃に対してはいくつか対策がありますが、一般的な方法として以下の方法があります。

  1. ユーザにパスワードを定期的に変更させる
  2. ログオン試行の回数を5回以下に設定する
  3. パスワードの複雑性を他のサービスと違うより複雑なものに変更する
  4. 2要素認証でログオンさせる

予算がない企業は2要素認証などを導入できませんので、その場合は運用で対処する必要があります。また、未然に防ぐ対策が取れない場合はせめてログオン失敗のログを監視する運用をする必要があります。

広告

広告

-図解サイバーセキュリティ用語


comment

関連記事

柳条湖事件 9月18日に中国からサイバー攻撃を受ける理由

毎年9月18日の1週間前になると、様々な機関から「9月18日前後に中国からサイバー攻撃がある可能性がありますので注意してください」という通達がありますよね。実際に9月18日に中国からのサイバー攻撃によ …

Smurf攻撃はDDoSの一種です 図解サイバーセキュリティ用語

Smurf攻撃はDoS攻撃の一つで、ネットワークの疎通確認等に利用されるICMPを悪用して攻撃ターゲットのサーバに大量のパケットを送信する攻撃です。Smurfという名前の由来は、この手の攻撃に利用され …

ハニーポットとはセキュリティのハニートラップ

ハニートラップとは諜報活動のヒューミントの一種で、女性のスパイや工作員がターゲットの男性を誘惑し性的関係を持つことによって弱みを握り、それをネタにして個人情報や機密情報などを入手する活動の事を言います …

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、個人の情報や企業情報などをコンピュータやネットワーク経由で入手するのではなく、物理的な手段もしくは心理的な手段によって入手する事を言います。ソーシャルエンジニアリングは …

SSLサーバ証明書とは 図解サイバーセキュリティ用語

SSLサーバ証明書は、クライアントとサーバ間で行う暗号化通信に必要な鍵やWebサイトの所有者情報などを含む電子証明書です。SSLサーバ証明書を利用することによって、以下の2つの目的を達成します。 We …