複雑なパスワードでも乗っ取られる？　多発する「不正ログイン」

企業においてシステムへのアクセス権限を管理することは非常に重要である。そのために用いられるのが、システムの利用者本人であることを認証する「ID」と「パスワード」。しかし、そのパスワードの管理が甘く、関係ない第三者によってログインされてしまう被害は、以前から数多く発生していた。

その手法としては、さまざまな文字列を用いて力づくでパスワードを突破する「ブルートフォースアタック（総当たり攻撃）」など、これまでも広く知られている。だからこそ、セキュリティ機関では、単純なパスワードの危険性を訴え、複雑なパスワードを利用するよう、繰り返し啓発活動を展開してきた。

しかし、2013年ごろから被害が目立ち始めた「不正ログイン」は、従来の攻撃と一線を画す手口だ。「複雑なパスワード」を設定していたにも関わらず、ログインされてしまうケースが相次いでいるのだ。

被害に遭ったサイトも、ひとつやふたつではない。大手プロバイダーや航空会社、電子書籍サービス、ポイントサイト、アンケートサイト、SNS、動画サービスなど幅広いサービスで発生している。

もし、不正ログインを許してしまえば、たとえば登録されている個人情報を取得されたり、各種サービスを利用するためのポイントが奪われるおそれもあり、金銭的な被害に発展してしまう。事実、そういったケースも発生している。

またLINEという通話アプリで発生したアカウントの乗っ取りでは、本人のふりをして、電子マネーを騙し取る詐欺メッセージが送信され、アカウントの所有者本人はもちろん、友人に詐欺の被害が拡大するなど、社会問題化したともいえるだろう。

サービス提供者が見抜けない「パスワードリスト攻撃」

なぜ、他人が予想できないように複雑なパスワードを設定していても、いとも簡単にパスワードを破られてしまうのだろうか。

その答えはズバリ、「パスワードリスト攻撃」にある。まずは「パスワードリスト攻撃」が、どのような攻撃なのか整理しておこう。

「パスワードリスト攻撃」とは、その名のとおり、何らかの方法で事前に入手したIDとパスワードの「リスト」を用いて、ログインを試みる攻撃だ。

といっても攻撃対象サイトへ不正アクセスし、事前に情報を盗み出すわけではない。被害が発生したサイトの多くは、自社サイトからの情報漏洩を否定している。

では入手先はどこかといえば、セキュリティ対策が甘い「まったく別のサービス」や、外部流出したアカウントリストなどと見られている。

「攻撃対象と関係ないサイトのIDとパスワードを入手しても意味がないのではないか」と思うかもしれない。しかし、一定の割合で攻撃が成功する。なぜなら、犯罪者のターゲットは、「パスワードの使い回し」を行っているユーザーだからだ。

自動的に連続入力するプログラムを利用して、事前に入手したリストを用いて、次々にログインを試行するのだ。例えば、あるサイトに対する攻撃では、約1500万件のアカウントに対して不正ログインの試行が行われた。そのうち成功、つまり、本当にログインできた割合は、わずか0.15%に過ぎない。しかし、それでも使い回しを行っていたと見られる約2万4000件のアカウントへのログインが成功したことになる。

さらに厄介なのは、この攻撃は、サービス提供者の目を欺く点にある。

同じユーザーIDで何度もログインに失敗すれば、異常を検知し、ログインに制限をかけることもできる。しかし、「パスワードリスト攻撃」では、同じユーザーで何度もログインを試行するのではなく、次々とIDも変えながらログインを試みるため、例えパスワードを誤ったとしても1件のIDに対する失敗の回数が少ない。よって、正当なユーザーがたまたまパスワードの入力を誤っただけなのか、悪意ある第三者が試行したのか、サービス提供者側が判断するのは非常に難しい。

どのサービスにも、「パスワードの使い回し」を行っているユーザーが一定の割合で存在するため、リストさえ入手してしまえば、一定の割合で侵入、乗っ取りが成功する。そのため攻撃が後を絶えない状況だ。

企業に求められる対策

パスワードリスト攻撃による不正ログインの被害は、主にポイントサイトや、eコマースサイト、ソーシャルネットワークサービス（SNS）など、コンシューマー向けサービスで発生している。

そのため、企業における従業員のアカウントやシステムにはあまり関係がないと思っているかもしれない。しかし、その考えは危険だ。

BYODや、企業がコンシューマー向けサービスを採用する「コンシューマライゼーション」を行う企業も出てきた。従業員が無許可で個人的に契約したクラウドサービスを利用し、業務データをやり取りしているケースもある。

そのような環境において、従業員が、個人で利用しているサービスと会社のシステムで利用するパスワードを厳密に区別しているとは限らない。もし、業務で用いているIDやパスワードが、外部で漏洩してしまえば、業務システムが不正アクセスを受ける可能性も否定できない。

今のところ、不正ログイン攻撃は、「数打ちゃ当たる」の論理で、コンシューマー向けサービスがメインターゲットだ。しかし、標的型攻撃が執拗に企業を狙っていることからもわかるように、いつ企業のシステムに矛先が変え、漏えいしたIDやパスワードを悪用してくるかわからない。

パスワードリスト攻撃の被害を防ぐには、パスワードの使いまわしを避けることに尽きる。サービスやアカウントごとにパスワードが異なっていれば、もし、管理が甘いサービスからアカウント情報が漏れても、他サービスまで被害が及ぶことはない。

企業では、必ずパスワードについてポリシーを定め、従業員が業務で利用するパスワードについて使い回しが行われないよう管理する必要がある。あわせてパスワード管理の重要性について従業員教育を行う必要があるだろう。

危険なのは「使いまわし」だけじゃない

企業にも問われる「パスワード管理」の徹底だが、当然ながら危険な行為は「パスワードの使いまわし」に限った話ではない。確かに「パスワードの使い回し」を避ければリスクは低減できるが、これはあくまでパスワードリスト攻撃への対策としての話だ。

先に挙げた「ブルートフォース攻撃（総当たり攻撃）」や特定の単語を試す「辞書攻撃」は、依然として発生している。

パスワードを覚えるのが面倒なユーザーが、「111111」や「123456」「password」など単純な文字列を用いているケースは後を絶たない。こうした脆弱なパスワードは、攻撃者はもちろん、マルウェアが端末やサーバーへ侵入する際にも突破されてしまう。「使い回し」以前の問題だ。

もちろん、生年月日をはじめ、容易に予測できる文字列も御法度だ。最近ではソーシャルネットワークなどで誕生日を公開しているケースもあり、公開情報といってよいだろう。

少々昔の話だが、ある大学で学生のパスワードを検査するため、アイドル歌手の名前のリストを作り辞書攻撃によるログインを試みたところ、相当数の学生がパスワードを破られたというエピソードさえある。

パスワードを作成する場合は、アルファベットの大文字や小文字、数字、記号など複数の文字種を不規則に組み合わせ、十分な長さにする。そして使い回しを行わない。これらを守ることが重要だ。

パスワード対策をしっかりするだけでも不十分

そして、マルウェアやフィッシングへの対策も決して忘れてはならない。これらも、パスワードが漏えいする原因となり得るからだ。

キーボードの入力操作を盗み取るマルウェア「キーロガー」は、古典的な手口だが、今なお現役だ。偽画面を表示してIDやアカウントを騙し取るオンラインバンキングの利用者を狙った「バンキングトロージャン」も大流行している。

さらに偽サイトへ誘導してIDやパスワードを騙し取る「フィッシング」も発生している。実際に企業ユーザーのメールアカウントが奪われ、迷惑メール（スパムメール）送信の踏み台に悪用されたケースもある。

せっかく強固なパスワードを設定し、使い回しを避けても、マルウェアやフィッシングなどによって盗まれてしまえば意味がないというわけだ。アンチウイルスやアンチフィッシングといった対策もしっかり行っておきたい。

パスワードの安全管理は、利用者の意識や心がけに依存する部分が多い。使いまわしを避ける、複雑なパスワードを選ぶ、不用意に教えたり入力しない、メモをしっかり管理する、など利用者側の行動にかかっている。不正ログインは、まだまだ収まりそうにない。引き続き十分に注意したいところだ。