図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

パスワードリスト攻撃 他のサービスから盗み出したIDとパスワードを利用して不正アクセス

投稿日:2017年3月12日 更新日:

SNSなどのウェブサービスで不正アクセスが頻繁に発生していますが、その多くはパスワードリスト攻撃による不正アクセスです。ここではパスワードリスト攻撃について解説します。

パスワードリスト攻撃

攻撃者が一番最初に狙うデータはアカウント情報です。アカウント情報とパスワードさえあれば、ある程度低リスクで目的の情報まで近づく事ができます。パスワードリスト攻撃とは、攻撃者が他のサービスから入手したIDとパスワードを利用して、攻撃対象のサービスにログインを試みる攻撃の事です。

パスワードリスト攻撃の解説

攻撃者は比較的セキュリティの弱いサービスAの脆弱性などを利用してIDとパスワード(ハッシュ値)を取得します。それをリスト化してメインの攻撃対象であるサービスB、C、Dに利用してみるのです。最近のWebサービスではメールサービスなどを利用したシングルサインオンを利用しているサービスもありますし、ユーザも複数のサービスを利用する際に同じID、同じパスワードを利用する傾向にありますので、この手法は以外と効果的のようです。

パスワードリスト攻撃への対策

最近の例としては、サイバーエージェントが提供するAmebaにたいしてパスワードリスト攻撃がありました。不正ログイン試行数は約38,000,000回、実際に不正ログインされたアカウント数は約600,000件のようです。ではパスワードリスト攻撃に対してはどのように対策をしていけばよいのでしょうか?

この種の攻撃に対してはいくつか対策がありますが、一般的な方法として以下の方法があります。

  1. ユーザにパスワードを定期的に変更させる
  2. ログオン試行の回数を5回以下に設定する
  3. パスワードの複雑性を他のサービスと違うより複雑なものに変更する
  4. 2要素認証でログオンさせる

予算がない企業は2要素認証などを導入できませんので、その場合は運用で対処する必要があります。また、未然に防ぐ対策が取れない場合はせめてログオン失敗のログを監視する運用をする必要があります。

広告

広告

-図解サイバーセキュリティ用語


comment

関連記事

水飲み場攻撃 図解サイバーセキュリティ用語

水飲み場攻撃は標的型攻撃の1つですが、「標的」を装わないのが特徴です。通常の標的型攻撃はターゲットに対してしつこくフィッシングメールを送付したり、ターゲットのサーバをスキャンして脆弱性を発見して悪用を …

情報セキュリティのCIAとは?

CIAというと、米国の諜報機関である中央情報局(Central Intelligence Agency)や監査系の資格であるCertified Internal Auditorの略と思う方が多いと思い …

SQLインジェクション攻撃とは

SQLインジェクション(SQL Injection)とは、アプリケーション(特にWebアプリケーション)がユーザ等からの入力値を適切にエスケープしないままその入力値をSQLコマンドとして実行する事で、 …

スパムメールの由来・語源とは?

スパムメールとは、宣伝目的のメールを無差別かつ大量に送信されるメールの事を言います。スパムメールは皆さんの個人のメールにも会社のメールにも送信されており、世界で送信されているメールの70%ほどがスパム …

フィッシングメールとは 図解サイバーセキュリティ用語

最近良く聞く言葉の1つにフィッシングという言葉があります。会社でもセキュリティ部からアナウンスがあって「最近フィッシングメールが流行していますので、怪しいメールは絶対に開かないようにしてください。」と …