今年4月から5月にかけて、国内大手サイトで不正ログイン被害が相次ぎました。攻撃パターンから、あらかじめ不正入手したID/パスワードのリストを使った攻撃とみられています。複数サイトで同じパスワードを使い回しているユーザーはこの攻撃に弱く、容易に認証を突破され不正ログインを許してしまいます。いま現在、利用しているインターネットサービスのID/パスワードを見直し、共通のものがあれば設定し直すことをお勧めします。
<INDEX>
■大手サイトで相次いだ不正ログイン
■ユーザーのパスワード使い回しを狙う「リスト攻撃」
■多くのユーザーがパスワードを使い回す理由
★コラム:頻発するスマホからのメアド漏えいに注意
■不正ログイン被害を防ぐユーザーの自衛対策
(1) ID/パスワードの使い回しをしない
(2) 安易なパスワードを使わない
(3)「パスワード管理ツール」を利用する
(4)「第2段階認証」を積極的に利用する
<以下本文>
4月上旬、日本のWebサービス大手で、相次ぎ不正ログイン事件が発生した。もっとも被害規模が大きかったのは、NTTレゾナントが運営するポータルサイト「goo」で、最終的に10万8716件の会員アカウントが突破された。NTT東日本が運営する「フレッツ光メンバーズクラブ」では107件、イーブックイニシアティブジャパン運営の「eBookJapan」では779件、JR東日本運営の「My JR-EAST」では97件、それぞれ不正ログイン被害が報告されている。(注1-4)
4月22日には、スマートフォン向けのアプリマーケット「mopita」を運営するエムティーアイが、5450件の不正ログイン被害を受けたことを明らかにした。会員の生年月日4915件、電話番号5425件、メールアドレス2434件が参照されたという。連休明けの5月8日には、通販大手のディノスが運営するショッピングサイトでの不正ログインが報じられた。111万件の不正アクセスを受け、うち約1万5000件のアカウントが突破されたという。さらに被害は続き、資生堂は5月22日、同社の会員向けサイト「ワタシプラス」に海外から約24万件の不正アクセスがあり、うち682件に不正ログインが確認されたと発表した。(注5-7)
不正アクセスを受けた各社は、突破されたアカウントに対し速やかにログインロックを行っており、現時点では実質的被害は認められていない。各社は同様の攻撃に備えるため、全てのユーザーにパスワードの再設定を呼び掛け、とくに他のサービスで設定しているパスワードを使わないように注意を促している。
一連の事件では、特定のIPアドレスから各サービスのログイン画面に対し、大量の機械的ログイン要求が行われ、不正ログインが試みられている。このため当初は総当たり攻撃(ブルートフォース攻撃)と見られていたが、攻撃ログを詳細に解析した結果、攻撃者はIDとパスワードのセットを次々に試していることが明らかになった。
NTTレゾナントは、「gooIDでは使用を認めていない文字種や文字数のものも含まれているため、他社サービスから流出したID/パスワードのセットリストをgooIDシステムに対して試行している可能性が認められた」と報告している。イーブックイニシアティブジャパンは、「複数のIPアドレスからログインページに対し、あらかじめ持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」が行われたことがわかったとし、資生堂は「第三者があらかじめ別のサイト等から入手したID・パスワードのセットリストで機械的にアクセスをしたものと判明」したと述べている。
これは、「パスワードリスト攻撃」と称される攻撃手法で、インターネット利用者の多くが複数サイトで同一のID/パスワードを使い回している状況を利用したものだ。攻撃者はまず、なんらかの不正手段でユーザーのログインIDとパスワードを取得し、大量のリストを用意する。このID/パスワードを、連続自動入力プログラムを用いて標的とするサービスのログイン画面に次々と入力し、ログインできるかどうか試行を繰り返す(図1)。
図1 不正取得したID/パスワードを連続自動入力プログラムで入力し、不正ログインを試みる(出所:注8)
この攻撃手法では、一つのログインIDについて試行するパスワード数が、総当たり攻撃に比べて格段に少なくなる。イーブックイニシアティブジャパンは、不正ログインの「成立分」と「失敗分」について、1つのログインIDにパスワードが試行された回数を調べた。その結果、1つのログインIDについて1回しかパスワードを試行していないのにログインに成功したケースが386件と、全突破件数(779件)の半数近くを占めることがわかった。総当たり攻撃ではありえない成功率だ。ログインに失敗したケースでも、1つのログインIDについてパスワードを1回試行しだけで断念しているアカウントが9割に達していた。
同社は、今回の不正ログインが他サービスから不正入手したパスワードリスト攻撃によるものであると判断した根拠として、これらのデータを公開した(表1、出所注3)。攻撃者が他サービスのログインIDとパスワードを持ち込み、それを共用しているID/パスワードを狙って同社サービスに不正ログインを試みたことが、データから読み取れる。
表1-A ログイン成立分:1つのログインIDについてパスワードを試行した回数は最大5回までで、1回しか試行していないのに正当したアカウントが半数近くを占める
表1-B ログイン失敗分:1つのログインIDについてパスワードを試行した回数は最大9回までで、1回だけで断念しているアカウントが9割を占める
先に、「インターネット利用者の多くが、複数サイトで同一のID/パスワードを使い回している状況」があると述べた。いったいどれぐらいのユーザーが使い回しをしているのだろうか。
IPA(情報処理推進機構)が昨年12月に発表した「情報セキュリティの脅威に対する意識調査」では、「サービス毎に異なるパスワードを設定している」人は、約2割という結果だった。この調査は2005年度からWebアンケート方式で行われており、昨年12月の発表データが通算11回目の最新版となる。対象は15歳以上のインターネット利用者で、有効回収数は5000名(男性2587名、女性2413名)。
パスワードの設定方法に関する調査結果を見ると、パスワードを設定する際に「誕生日などの推測されやすいものを避けて設定している」は48.5%、「わかりにくい文字列(8文字以上、記号含む)を設定している」は43.3%、「サービス毎に異なるパスワードを設定している」は22.2%という結果だ。半数以上が安易なパスワードを使い、約8割が複数のWebサービスでパスワードを使い回していることになる。(注9)
一方、5割以上のユーザーがパスワードを使い回しているとする海外のデータもある。セキュリティ企業のソフォスが、英国の16歳以上の1805人のインターネット利用者を対象とした「Adults' Media Use and Attitudes Report 2013 (成人のメディア利用動向調査 2013 年度版)」を紹介している。調査の結果、利用者の 55 % が、「ほぼすべての Web サイトで同じパスワードを使い回している」ことが明らかになったという。(注10)
この調査を公開したOfcom (英国情報通信庁) によると、1週間に男性は24サイト、女性は14サイトの異なるWebサイトにアクセスしている。それらのサイトのログインパスワードをすべて憶えるのは大変だ。記憶だけでなく、パスワードは作成も、また定期的に変更することも厄介だ。セキュリティ上問題があるとわかっていても、つい使い回しをすることになってしまう。このパスワード管理の難しさは日本でも変わらない。
-------------------------------------------------------------------------------
IDとパスワードが揃ったリストがあれば不正ログイン攻撃は容易だが、IDのリストだけでも攻撃は可能だ。1つのIDに対し、パスワードとしてよく用いられる文字列(安易なパスワード)を、連続自動入力プログラムを使って次々に試していく。期待通り安易なパスワードが使われていれば、すぐにIDと合致してアカウントは突破されてしまう。つまり、パスワードだけでなく、IDの使い回しも危険なのだ。
ここで注意したいのが、メールアドレスだ。メールアドレスがそのままIDとして使われるWebサービス、メールアドレスの「@」の左側をIDとして使うWebサービスも少なくない。この場合、メールアドレスの漏えいはIDの漏えいと同様の意味をもつ。メールアドレスの漏えいはさまざまな場面で発生しているが、利用者の急増を背景にスマートフォン(スマホ)からの漏えいも頻発している。
IPA(情報処理推進機構)は3月、Android端末向け公式マーケットから50万回以上もダウンロードされたアプリが、スマホ内のメールアドレス(IDとして使われることが多い)などを外部に送信してしまう不正アプリだったことを明らかにした。不正アプリによる個人情報漏えいは、これまでも繰り返し報じられている。「電池改善」「安心スキャン」などといった有用アプリを装った不正アプリ、人気ゲームを装った不正アプリなど、手を変え品を変えて個人情報を外部に漏えいさせる不正アプリがばら撒かれている。
こうしてスマホから抜き取られたメールアドレスが収集され、不正ログイン攻撃に使われる可能性は否定できない。十分注意していただきたい。また、万一の場合も強いパスワードが設定されていれば突破される可能性は低くなるので、本文の「不正ログイン被害を防ぐユーザーの自衛対策」を参考に、改めてパスワードを見直すことをお勧めする。
--------------------------------------------------------------------------------
不正ログイン攻撃を受けても、突破されたアカウントと突破されなかったアカウントがある。パスワードリスト攻撃で突破されたアカウント(ID/パスワード)は、かつてどこからか「漏えいした」もので、かつ「使い回し」がなされていたものに限定される。このことから、ユーザー側で可能な自衛対策としては、個人情報の取扱いに注意してメールアドレスやID/パスワードを漏えいさせないこと、ID/パスワードの使い回しをしないことがポイントだ。ここでは「使い回しをしない」パスワードの管理についてみていこう。
(1) ID/パスワードの使い回しをしない
まず、自分が利用しているWebサービスのアカウントをすべて洗い出してみよう。1~数か月に一度など、たまにしか使わないものも忘れずに。
・サービスごとに、使っているアカウント(ID/パスワード)、登録メールアドレスを書き出し、重複しているアカウントがないか確認する。
・とくにメールアドレスをIDとして使用するサイト、メールアドレスの「@」の左側がユーザーIDになっているサイトは要注意。
・重複しているパスワードはすべて違うものに設定し直す。
(2) 安易なパスワードを使わない
強いパスワード作りには、「文字数を増やす」「数字や記号などの文字種を増やす」ことが有効だ。また、辞書に載っている単語そのものをパスワードにすると、総当たり攻撃に含まれる「辞書攻撃」で突破されやすい。ログインIDと同じパスワードや、サイト名やサービス名をそのままパスワードにすることもありがちだ。「ありがちで安易なパスワードを使わない」ことに気を付けて、パスワードを設定しよう。
(3) 「パスワード管理ツール」を利用する
数字や記号を含めた文字数の多いパスワード、辞書にない言葉を使ったパスワードは、安全性が高い反面、憶えるのが大変だ。数が多い場合、大変というより無理な話になる。人の出入りがない場所でアクセスする環境にある人はメモなどに書き留めて手元におくことも可能だが、通常は紛失や漏えいの危険があり、お勧めできない。
そこで利用を検討したいのが「パスワード管理ツール」だ。パスワード管理ツールは、多数のIDとパスワードを安全に保管してくれるだけでなく、強いパスワードを自動生成する機能や、ID/パスワードをブラウザに自動入力する機能などを備えているものが多い。使いたいWebサービスのログイン画面で自動的にID/パスワードが入力されるので、ユーザーはマスターパスワードを1つ憶えておけばよい。
パスワード管理ツールは、無料のフリーソフトからセキュリティ企業が提供するものまでいろいろあるので、自分のニーズに合うものを探してみてはいかがだろうか。無料ソフトにも評価が高い優れたソフトがあるが、パスワード管理ツールを装った不正アプリが紛れ込む可能性もありえるので、くれぐれも信頼できるものを選んでいただきたい。
(4) 「第2段階認証」を積極的に利用する
今年4月17日(米国時間)以降、マイクロソフトのWebサービス全般で「2段階認証」が利用できるようになった。ログイン時、ID/パスワードのほか、そのつど生成されるキュリティコード(暗証番号)を入力するもので、万が一パスワードを盗まれた場合も、不正ログインを防ぐことができる。セキュリティコードは、あらかじめ登録したメールや電話で送られてくる。(図2)
図2 マイクロソフトの2段階認証のコード入力画面(Webブラウザ使用時)
図3 Googleアカウントの2段階認証の設定画面
ほかに、Google, Facebook, Dropbox, Yahoo! Japan なども、この第2段階認証を導入している(図3)。2段階認証は、提供する事業者にとってもユーザーにとっても負担がかかるものではあるが、不正ログイン攻撃からアカウントを守る効果は大きい。利用しているWebサービスが2段階認証に対応している場合は、ぜひ活用していただきたい。
(執筆:現代フォーラム/小野寺)
<関連URL>
(注1)[04/09]gooIDへの不正ログイン被害について(終報)(NTTレゾナント)
http://pr.goo.ne.jp/detail/1703/
(注2)[04/10]不正アクセスへの対応等について(NTT東日本)
http://www.ntt-east.co.jp/release/detail/20130410_01.html
(注3)[04/05]不正ログイン被害のご報告とパスワード再設定のお願い(イーブックイニシアティブジャパン)
http://www.ebookjapan.jp/ebj/information/20130405_access.asp
(注4)[04/17]My JR-EASTでの不正ログイン発生とご利用のパスワード変更のお願い [PDF](JR東日本)
http://www.jreast.co.jp/pdf/20130417_myjreast_login.pdf
(注5)弊社サービスへの不正ログイン被害のご報告(エムティーアイ)
https://www.mopita.com/announce-201304-1.html
(注6)【重要】セキュリティ強化のためのパスワード変更のお願い[PDF](ディノス)
http://www.dinos.co.jp/guide/info/pdf/20130508-1.pdf
(注7)ワタシプラスにおける不正ログイン被害について(資生堂)
http://www.shiseido.co.jp/announcement/201305/20130517.html
(注8)平成23年中の不正アクセス行為の発生状況等の公表について[PDF](警察庁)
http://www.npa.go.jp/cyber/statics/h23/pdf040.pdf
(注9)2012年度 情報セキュリティの脅威に対する意識調査」報告書について(IPA)
http://www.ipa.go.jp/security/fy24/reports/ishiki/
(注10)インターネット利用者の55% が、ほぼすべての Web サイトで同じパスワードを使い回していることが判明(ソフォス)
http://www.sophos.com/ja-jp/press-office/press-releases/2013/04/ns-using-same-password.aspx