リスト型攻撃によるなりすまし・アカウント乗っ取り被害、なぜ拡大する?

リスト型攻撃によるなりすまし・アカウント乗っ取り被害、なぜ拡大する?

1.リスト型攻撃の被害が止まらない4つの理由

他のWebサイトなどから入手したIDとパスワードを使用し、ログインページに対して連続的に他ユーザーになりすまし、不正にログインを試みる「リスト型攻撃」。自社から漏えいしたものではないアカウント情報によりログインされ、ポイントを不正に利用されたり、不正送金が行われたり……時にはさらなる情報漏えいにつながったり。被害を受けた企業としては、「もらい事故」とでも言いたくなるものですが、リスト型攻撃の被害はなぜ拡大してしまうのでしょうか。

①ユーザーによる同一パスワードの使い回し
改めて説明するまでもなく、同じアカウント情報を他サービスに使い回すことが、リスト型攻撃を成功させる主要因になっています。ユーザーがサイトごとに異なるアカウント情報を使っていれば、一つの企業から情報が漏えいしたとしても、被害が拡大することはありません。しかし、実際は8割を超えるユーザーが同一のパスワードを使い回しており[1]、個人であまたのアカウント情報を管理することが困難である現状を示しています。

②企業による情報漏えいの発覚遅延
企業やサービスからアカウント情報が漏えいした場合、すぐに漏えいに気付きユーザーに警告をすることができれば、被害の拡大を止めることができるかもしれません。しかし実際は、多くの場合、漏えいの発覚に時間がかかっていることが明らかになっています。米国のある調査会社が行っている調査によると、情報漏えいが起きた場合、企業が異常に気付くのにかかる時間は世界平均で191日、さらに漏えいを封じ込めるまで66日かかっていることが分かります[2]。最長では発見までに500日以上を要しているケースもあり、この間にも漏えいしたアカウント情報が悪用される可能性は高まります。また発見のきっかけが自社の情報セキュリティのプロセスによるものではなく、8割以上の場合が、公的機関からの指摘を含む第3者によるものであることも分かっています[3]。これも、セキュリティインシデントの発覚がより遅くなる原因の一つと言えるでしょう。

③ユーザーが情報漏えいに気付かない
ユーザーが情報漏えいに気付くケースとしては、まず、情報の書き換えやポイントの不正利用、不正送金など、身に覚えのないサイト上の行動です。さらには、ユーザーのログイン環境などから不正なアクセスの可能性を検知するサービス(リスクベース認証)を導入している企業もあります。こうした企業からは、なりすましによるログインが行われようとすると、ユーザーが登録したメールアドレス等に注意喚起を促すメールが送られ、ユーザーが気付くケースもあります。しかし全ての企業やサービスで、このような対策が行われているわけではなく、目立った被害がない場合、ユーザーからは気付きにくいのが事実です。特にアカウントを作成したものの、長期間利用をしていないいわゆる「休眠アカウント」については、他人に利用されていても気付きにくい傾向があります。

④情報の漏えい元が分からない
例えリスト型攻撃による不正アクセス・ログインが発覚したとしても、同一アカウント情報の使い回しが日常化している現在、どこが情報の漏えい元なのか突き止めることも簡単ではありません。リスト型攻撃を受けた企業としては、自社の該当ユーザーに対し警鐘を鳴らすにとどまり、ハッカーの元には他の多くのアカウント情報を含んだリストが残ることになります。

2.企業は積極的な自衛策を

米国では最近、自社以外の企業やサービスで漏えいしたアカウント情報を使用しているユーザーに、アカウント情報の変更を促す通知をする企業も現れ話題になっています。同企業からの公表はないものの、過去のセキュリティインシデントにより漏えいしたメールアドレスをチェックできるサイトを利用し、自社のアカウント情報の安全性を確認したのではないかと言われています[4]。

アカウント情報の漏えいに自社の責任がなくても、不正利用が起きれば、企業やサービスの信用が損なわれ、直接的な損失が発生することも。ユーザー情報を扱う全ての企業が、ログイン時に不審なアカウントを精査するなど、積極的な自衛策を講じる必要があります。

(文/星野みゆき 画像/© sdecoret – Fotolia)

参考:
[1] トレンドマイクロ株式会社. (2017). -パスワードの利用実態調査 2017-パスワードを使いまわしている利用者が8割以上
https://www.trendmicro.com/ja_jp/about/press-release/2017/pr-20171005-01.html

[2] IBM. (2017). Ponemon Institute’s 2017 Cost of Data Breach Study: Global Overview
https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=SEL03130WWEN

[3] C, Gerritz. (2016). Breach Detection by the Numbers: Days, Weeks or Years?. Infocyte
https://www.infocyte.com/blog/2016/7/26/how-many-days-does-it-take-to-discover-a-breach-the-answer-may-shock-you

[4] J, Leonard. (2018). Nest warns user of password breach – but not from its own systems. computing
https://www.computing.co.uk/ctg/news/3032107/nest-warns-user-of-password-breach-but-not-from-its-own-system