2019年5月、ユニクロ、Spotify、コジマ電気、といった誰もが知る会社やサービスがサイバー攻撃を受けていたというニュースが、立て続けに流れてきた。その手法はどれも「リスト型攻撃」と呼ばれるハッキング手法であった。リスト型攻撃とはいったい何なのか?このことから、私たちは何を学ばなければならないのか?私なりの考えをまとめてみた。
リスト型攻撃の手口
リスト型攻撃とは、「リスト型アカウントハッキング」と呼ばれ、他人のアカウントを乗っ取ってログインし、個人情報や決済情報などの個人情報を取得するサイバー攻撃だ。
よりセキュリティの弱いウェブサービスなどへのハッキングや、悪意を持った個人情報の売買などを通して、流出しているIDやパスワードをリスト化し、別サービスのアカウントへログインを試みる。
サービスごとに、IDやパスワードを使い回していない方なら心配ないだろうが、使いまわしている人の場合「正規の鍵」を利用されていれば、サイバー攻撃として認識することすらない。
パスワードの使い回しは危険
通常は、サイバー攻撃を受け情報漏洩を起こした企業側が責められるケースがほとんどだが、今回の情報漏洩の原因は、ユーザー側にあると言っても過言ではない。
企業側がどんなにレベルの高いセキュリティを提供していても、正規の鍵(パスワード)を利用されてしまえば、強固なセキュリティも意味をなさない。
今回、リスト型攻撃が立て続けに発生しているのも、漏洩したIDやパスワードがハッカーの間で出回り、使い回されている可能性も考えられる。パスワードの使い回しは、あらゆるサービスへの不正アクセスを容易に実現できる原因になってしまうのだ。
企業側が取るべきセキュリティ対策とは?
今回の件、もちろん企業側にも対策できる部分は残っている。例えば、生体認証や2ファクター認証だ。
生体認証
静脈や指紋など、個人の体の特徴を読み取って認証する手法。様々な手法をとれば、生体認証を突破することも不可能ではないが、簡単ではないため、よく使われる認証方法。
2ファクター認証(2段階認証)
IDやパスワードによる認証だけでなく、要素を追加して2段階で認証を行う手法。よくある手法としては、1段階目でIDやパスワードによる認証を行い、2段階目で登録済みの電話番号やメールアドレスにセキュリティコードを送付し、コードを入力する認証方法。アップルなどもこの認証方法を設定することを進めている。
結局は自分の身は自分で守る
とはいえ、企業側のセキュリティ対策には限界があるし、今回のように、セキュリティが弱いサービスによって漏洩したIDやパスワードを利用されれば、強固なセキュリティを持つサービスも容易にハッキングされてしまう。
一人一人、サービスの使い方やデバイスの使い方を意識し、自らの身を守る必要が出てきそうだ。
| 参考URL: Spotifyが一部のアカウントに対し「不審な活動」を理由にパスワードをリセット パスワードリスト攻撃で一部会員情報が閲覧の可能性(コジマ) ユニクロ個人情報流出 企業側の対策だけでは対応できない「リスト型攻撃」が手口 |