図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

パスワードリスト攻撃 他のサービスから盗み出したIDとパスワードを利用して不正アクセス

投稿日:2017年3月12日 更新日:

SNSなどのウェブサービスで不正アクセスが頻繁に発生していますが、その多くはパスワードリスト攻撃による不正アクセスです。ここではパスワードリスト攻撃について解説します。

パスワードリスト攻撃

攻撃者が一番最初に狙うデータはアカウント情報です。アカウント情報とパスワードさえあれば、ある程度低リスクで目的の情報まで近づく事ができます。パスワードリスト攻撃とは、攻撃者が他のサービスから入手したIDとパスワードを利用して、攻撃対象のサービスにログインを試みる攻撃の事です。

パスワードリスト攻撃の解説

攻撃者は比較的セキュリティの弱いサービスAの脆弱性などを利用してIDとパスワード(ハッシュ値)を取得します。それをリスト化してメインの攻撃対象であるサービスB、C、Dに利用してみるのです。最近のWebサービスではメールサービスなどを利用したシングルサインオンを利用しているサービスもありますし、ユーザも複数のサービスを利用する際に同じID、同じパスワードを利用する傾向にありますので、この手法は以外と効果的のようです。

パスワードリスト攻撃への対策

最近の例としては、サイバーエージェントが提供するAmebaにたいしてパスワードリスト攻撃がありました。不正ログイン試行数は約38,000,000回、実際に不正ログインされたアカウント数は約600,000件のようです。ではパスワードリスト攻撃に対してはどのように対策をしていけばよいのでしょうか?

この種の攻撃に対してはいくつか対策がありますが、一般的な方法として以下の方法があります。

  1. ユーザにパスワードを定期的に変更させる
  2. ログオン試行の回数を5回以下に設定する
  3. パスワードの複雑性を他のサービスと違うより複雑なものに変更する
  4. 2要素認証でログオンさせる

予算がない企業は2要素認証などを導入できませんので、その場合は運用で対処する必要があります。また、未然に防ぐ対策が取れない場合はせめてログオン失敗のログを監視する運用をする必要があります。

広告

広告

-図解サイバーセキュリティ用語


comment

関連記事

HTTP GET Flood攻撃 (F5攻撃) 図解サイバーセキュリティ用語

HTTP GET Floodは別名F5攻撃ともいわれます。F5とはキーボードのF5の事です。インターネットブラウザを表示している時にF5を押すとどのようになるかご存知ですか?今F5を実行してみてくださ …

ステガノグラフィー(steganography)とは?

ステガノグラフィー(steganography)とは、主に画像などのデータに他のデータやメッセージを埋め込む事でデータ・メッセージを隠蔽するための技術の事を言います。 一般的に暗号データは暗号化されて …

アドウェア(Adware)とは?

アドウェア(Adware)とは、ブラウザのツールバーに組み込まれたり、OSのスタートアップに登録されたりして勝手に広告のポップアップ画面などを表示するプログラムの事を言います。アドウェアの多くは広告を …

ゼロデイ攻撃 図解サイバーセキュリティ用語

ゼロデイ攻撃とは、システムやアプリケーションに脆弱性が発見され、ベンダーが修正パッチをリリースする前にその脆弱性を悪用した攻撃の事を言います。ベンダーが提供する修正パッチのリリース日をワンデイ(1 d …

プロキシサーバとは? 図解サイバーセキュリティ用語

プロキシサーバとは、クライアントが内部ネットワークから外部のWebサーバ等にアクセスする際に、クライアントに代わって代理で通信を行う事によって通信の高速化を図ると同時にセキュリティの確保を行うサーバの …