図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

パスワードリスト攻撃 他のサービスから盗み出したIDとパスワードを利用して不正アクセス

投稿日:2017年3月12日 更新日:

SNSなどのウェブサービスで不正アクセスが頻繁に発生していますが、その多くはパスワードリスト攻撃による不正アクセスです。ここではパスワードリスト攻撃について解説します。

パスワードリスト攻撃

攻撃者が一番最初に狙うデータはアカウント情報です。アカウント情報とパスワードさえあれば、ある程度低リスクで目的の情報まで近づく事ができます。パスワードリスト攻撃とは、攻撃者が他のサービスから入手したIDとパスワードを利用して、攻撃対象のサービスにログインを試みる攻撃の事です。

パスワードリスト攻撃の解説

攻撃者は比較的セキュリティの弱いサービスAの脆弱性などを利用してIDとパスワード(ハッシュ値)を取得します。それをリスト化してメインの攻撃対象であるサービスB、C、Dに利用してみるのです。最近のWebサービスではメールサービスなどを利用したシングルサインオンを利用しているサービスもありますし、ユーザも複数のサービスを利用する際に同じID、同じパスワードを利用する傾向にありますので、この手法は以外と効果的のようです。

パスワードリスト攻撃への対策

最近の例としては、サイバーエージェントが提供するAmebaにたいしてパスワードリスト攻撃がありました。不正ログイン試行数は約38,000,000回、実際に不正ログインされたアカウント数は約600,000件のようです。ではパスワードリスト攻撃に対してはどのように対策をしていけばよいのでしょうか?

この種の攻撃に対してはいくつか対策がありますが、一般的な方法として以下の方法があります。

  1. ユーザにパスワードを定期的に変更させる
  2. ログオン試行の回数を5回以下に設定する
  3. パスワードの複雑性を他のサービスと違うより複雑なものに変更する
  4. 2要素認証でログオンさせる

予算がない企業は2要素認証などを導入できませんので、その場合は運用で対処する必要があります。また、未然に防ぐ対策が取れない場合はせめてログオン失敗のログを監視する運用をする必要があります。

広告

広告

-図解サイバーセキュリティ用語


comment

関連記事

辞書攻撃(ディクショナリ攻撃) 図解サイバーセキュリティ用語

辞書攻撃(ディクショナリ攻撃)はユーザのパスワードや暗号キーを解読するために行う攻撃の1つです。コンセプトはブルートフォース攻撃と同じですが、辞書攻撃はブルートフォースより効率よく短時間で攻撃を行う事 …

CDoSとは 中国発信のDoS攻撃 図解サイバーセキュリティ用語

CDoSとはChina DoSの略で、中国からのDoS攻撃の事を指します。この言葉が作られた理由は単純に中国からのDoS攻撃が多いからです。これは対日本に限ったわけではなくアメリカや東南アジア、欧州に …

SQLインジェクション攻撃とは

SQLインジェクション(SQL Injection)とは、アプリケーション(特にWebアプリケーション)がユーザ等からの入力値を適切にエスケープしないままその入力値をSQLコマンドとして実行する事で、 …

DNSキャッシュポイズニング 図解サイバーセキュリティ用語

DNSキャッシュポイズニングとはDNSサーバのキャッシュ情報に不正なIPとそのホスト名を挿入することによって、ユーザを不正なホスト名を持つウェブサイトに誘導する攻撃を指します。最終的な目的は、その誘導 …

キーロガーとは 図解サイバーセキュリティ用語

キーロガー(keylogger)とはパソコン等のキーボードの入力を監視してそれを記録するソフトウェアの事を言います。キーロガーによって記録された情報からユーザが何をタイプしたのかがわかります。つまり、 …