リスト型攻撃とは、他のWebサイトなどから入手したIDとパスワードを使用し、ログインページに対して連続的に他ユーザーへのなりすましを利用して不正にログインを試みるものです。IDとパスワードをリストのようにして組み合わせることからその名がつけられ、「リスト攻撃」や「リスト型アカウントハッキング」、「リスト型アカウントハッキング攻撃」などとも呼ばれます。

考えられる英数字の組み合わせを全て試みる従来の手法と異なり、あらかじめ手に入れたIDとパスワードのリストを使用するため、不正ログインの成功率が高いという特徴があります。

日本を代表する大手企業が次々とこのリスト型攻撃のターゲットとなり、不正ログインを通じた顧客データ等を漏えいさせる被害が近年になって急増。企業の経営者やセキュリティ担当者にとって決して他人事ではありません。

そこで今回は勢いを増すリスト型攻撃に備え、事業者が行っておくべき対策を整理しました。適切な対策が行われているか、チェックしてみましょう。

リスト型対策に有効な8つの対策

ここでご紹介する対策は、どれも基本的なものばかり。自社で対応できているか確認するとともに、未対応のものについては迅速に改善するように心掛けましょう。

1. ID・パスワードの使い回しに対する注意喚起
他サイトと同一のIDやパスワードを使用しないように、ユーザーに呼びかける。

2. 適切なパスワードの設定を促進
以前使用したパスワードを再度設定したり、同じ英数字の羅列や、名前・誕生日などの情報を含む推測の容易なパスワードを設定したりしないように促す。また適切なパスワードポリシーを定め、不正に利用されやすいパスワードの設定を認めない。

3. 休眠アカウントの削除
長期間利用がないアカウントに対し注意を促し、データを削除する。

4. ID・パスワードの適切な保存
ユーザーのID・パスワードを暗号化するなどして適切に保存する。

5. 二要素認証の採用
ユーザーに関する追加情報の入力やワンタイムパスワード、生体認証の採用など、パスワード以外の認証法を組み合わせて導入する。

6. ログイン履歴を表示
ユーザーに対しログイン履歴を開示し、不正なログインに対する注意を喚起する。

7. アカウントのロック
同一IDにおいて、一定回数以上ログインに失敗した場合、アカウントを一時的にロックする。

8. 不正が疑われるIPアドレスからのアクセスを遮断
同一のIPアドレスから一定数以上のログイン要求があった場合に当該IPアドレスからのアクセスを遮断したり、普段使用するIPアドレスと大きく異なるIPアドレスからのログイン要求があった場合に当該IPアドレスからのアクセスを遮断する。

ユーザーが適切にID・パスワードを設定・使用するサポートをするとともに、不正なアクセスにいち早く反応し、然るべき対応をすることが求められています。

（文／星野みゆき　画像／© momius – Fotolia）

参考：
総務省. (2013). リスト型アカウントハッキングによる不正ログインへの対応方策について（サイト管理者などインターネットサービス提供事業者向け対策集）