パスワードの使い回しを狙った「パスワードリスト攻撃」を受け、大手オンラインサービスのアカウントが大量にハッキングされる被害が相次いでいます。複数のサービスで同じパスワードを使い回している人は被害を受ける可能性が高く、被害を防ぐ対策にはパスワードの設定・管理の見直しが必須です。
<INDEX>
■パスワード使い回しにつけ込んだ不正ログイン急増
■4か月間で約66万8千件アカウントがハッキング
■リスト型不正ログインの「成功率」が示すもの
★コラム:「総当たり攻撃」の成功率と“強いパスワード”</strong>
■「パスワードの使い回し」が止まらない理由
■強いパスワードを作り安全に管理する方法
インターネットではショッピングや金融、ゲーム、SNSなどさまざまなオンラインサービスが提供されている。パスワードでログインが必要なオンラインサービスを、一人あたり約14サイト利用しているというデータもあり、それらすべてに個別のパスワードを用意するのは容易ではない。パスワードを使い回す危険が繰り返し警告されながら、なかなか理想通りにはいかないのは、無理からぬことかもしれない。(注1:パスワードの使い回し実態を示す調査資料)
ここ数年の間に急増した「パスワードリスト攻撃」という不正ログインの手口は、そこに目を付けた攻撃手法だ。過去に流出した大量のID・パスワードのリストをあらかじめ用意し、標的とするオンラインサービスに不正ログインを試みる。警察庁はこの手口を「連続自動入力プログラムによる不正ログイン攻撃」と呼んでいるが、その呼称通り専用プログラムを使ってID・パスワードを連続自動入力するため、短時間のうちに何十万、何百万回ものログインが試行され、なかには千万回を上回る攻撃も行われている。
図1 ID・パスワードを使い回すユーザーを狙うパスワードリスト攻撃
(図の出所:IPA、注2)
考えられる文字列の全てを試す「総当たり攻撃」や、使用頻度の高いパスワードのリストを試す「辞書攻撃」等ではなく、実際に使われたID・パスワードを試す手法のため、高い確率でログインに成功してしまう。不正ログインの成功はアカウントの乗っ取り=成りすましが可能になることを意味し、正規ユーザーがそのサービスに登録した個人情報(氏名、住所、メールアドレス等)の閲覧、SNSへの勝手な書き込み、ポイントの交換などを攻撃者に許してしまう。
警察庁は毎年3月、前年1年間の「不正アクセス行為の発生状況」を取りまとめて公表しているが、2011年分(2012年3月公表)の資料には、「ここ数年、ID・パスワードが使い回しされている状況につけ込んだ『連続自動入力プログラムによる不正ログイン攻撃』が発生している」とあり、このリスト型不正ログインについて言及している。
2012年分(2013年3月公表)には、「連続自動入力プログラムによる不正ログイン攻撃の結果、114,013件の不正ログインが行われていた旨の資料提供を受けている」と記載。翌2013年分(2014年3月公表)には、「連続自動入力プログラムによる不正ログイン攻撃による不正アクセス行為が約80万件」と記載されている。実際の不正ログイン発生数はこれを上回ると推測されるが、リスト型不正ログインの急増を反映する数字であることは確かだろう。(注3)
表1は、今年6~9月に公表された主な不正ログイン被害の一覧である。攻撃を受けたサービス提供会社はいずれも、ID・パスワードが自社から流出したことは確認できず、攻撃者が事前に外部から取得して準備したID・パスワードのリストを使って行われた「リスト型不正ログイン」であるとしている。ここに挙げた14のサービス(被害16件のうち不明1件、重複1件)で、計約66万8千余のアカウントがハッキングされている。攻撃を受けた会社は、攻撃元となるIPアドレスの特定と遮断、ハッキングされたパスワードの強制変更、該当ユーザーへの個別連絡などの対応に追われた。
表1にあげたサービスを提供する運営会社14社は、サービスを利用する全ユーザーに対し、「他社のサービスで使っているID・パスワードとは異なるものを設定する」よう、強く求めている。ID・パスワードに加え、ワンタイムパスワードなどの認証方式を用意している会社は、その利用を推奨している。また、総務省が作成した対策集「リスト型アカウントハッキングによる不正ログインへの対応方策について」(注5)を参考として挙げた会社、パスワードの定期的変更を推奨した会社も、それぞれ6社あった。
表1の「成功率」は、成功数を試行回数で割ったもので、どの程度の試行頻度でログインに成功したかを示す。
最高値の30.79%は、リクルートホールディングス運営のショッピングサイト「ポンパレモール」で、他社の数値(0.15%~9.98%)と比べ、飛び抜けて高い。なぜここまで高い数値が出たのか、その理由は同社のリリース(注5-11)で端的に説明されている。
※印部分の説明を見ていただきたい。表1に「試行回数」としてあげた「31,660件」は、不正ログインが試みられたアクセス総数ではなく、ログイン試行されたIDのうち、実際に存在するリクルートIDと一致した件数だった。
リスト型不正ログインでは、あらかじめ用意されたID・パスワードのリストを元にログイン試行が行われるため、標的とされたサービスでは使われていないIDも大量に入力され試される。他社が挙げている「試行回数」は、そうした自社IDとは一致しないIDのログイン試行も含めた「総不正アクセス数=総試行回数」だが、ポンパレモールの場合は自社IDと一致しないものは除き、一致するIDだけをカウントしている。この方法だと成功率は高くなる道理で、他社も同じ方法で算出すれば高い数値が出ると思われる。
同社のリリースからわかることは、リクルートID(メールアドレス)をもつ3万1660人が他社サービスで同じメールアドレスをIDに使用しており、そのうち9749人がパスワードも同じものを使っていたということである。メールアドレスを使い回した人のほぼ3人に1人が、パスワードも使い回していたことになる。
リスト型不正ログイン攻撃では、IDが同じでもパスワードが違えば、逆にパスワードが同じでもIDが違えば、不正ログインは免れる。しかし、ID・パスワードとも同じものを使い回していれば、ハッキングされる可能性は限りなく高い。
ポンパレモールだけでなく、ログインIDにメールアドレスを指定するサービスは多い。使いたいサービスのIDとしてメールアドレスを求められれば、ついメインで使用しているメールアドレスで設定したくなるだろう。安全のためには、サービス毎にIDもパスワードも変えるのがベストだ。しかし、やむをえず複数サービスのIDを同じメールアドレスにしてしまう場合は、必ずサービス毎に異なるパスワードを設定しなければならない。それも、突破しにくい“強いパスワード”を設定する必要がある。
本稿ではリスト攻撃による不正ログインの成功率を取り上げているが、あらゆる文字列を試してパスワードを割り出そうとする「総当たり攻撃(ブルートフォースアタック)」の成功率は、どの程度なのか。単純な確率計算で算出してみよう。
攻撃者があるオンラインサービスのIDを押さえ、そのパスワードを総当たり攻撃で破ろうとした場合、必要となる最大試行回数は、そのパスワードの「組み合わせ総数」に等しい。「組み合わせ総数」は、パスワードに使用する文字の種類の総数を「文字種」、設定するパスワードの長さを「文字数」とすると、「文字種」の「文字数」乗で計算できる。その「組み合わせ総数」=「最大試行回数」の半分が、「平均突破回数」となる。
たとえば、パスワードが4桁の数字であると想定すると、パスワードの組み合わせ総数は、文字種(0~9の数字)が10、文字数が4であるから、10の4乗=10,000。突破のための試行回数は最小1回、最大10,000回なので、平均突破回数は5,000回。5,000回試行して1回の確率であるから、平均成功率は0.02%となる。
4桁の数字を5桁にすれば、「組み合わせ総数」=「最大試行回数」は10の5乗=100,000、「平均突破回数」は50,000、「平均成功率」は0.002%と、ひと桁違ってくる。数字だけでなくアルファベットもパスワードに含めれば、文字種がその分(26文字)増え、「組み合わせ総数」=「最大試行回数」は幾何級数的に増大する。パスワードは桁数が多いほど、また文字種が多いほど、強く破りにくいものとなる。
リスト攻撃に対しては、サービス毎に異なるパスワードを設定することが本質的な対策となる。この重要性は繰り返し強調されてきたが、パスワードを使い回す人がいかに多いかを、複数の調査結果は示している。(注1:パスワードの使い回し実態を示す資料)
図2をみると、「利用する全てのWebサービスで異なるパスワードを設定している」という回答は6.9%、もっとも多いのは「2~3種類のパスワードでほぼ全てのWebサービスを利用している」(56.4%)という回答だった。全体で93.1%もの人がパスワードを重複して使っているという結果は、衝撃的だ。
図2 パスワードを使い回しているユーザーが9割以上
(データ出所:トレンドマイクロ、注1)
使い回してしまう理由は次の通りで、たしかにそれが多くの人の実感だろう。
図3 パスワードを使い回す理由
(データ出所:トレンドマイクロ、注1)
では、どうすれば、覚えにくく作るのが面倒なパスワードを、サービス毎に設定し、管理していくことができるのか。各セキュリティ機関が推奨している設定法、管理法からまとめてみた。(注6:各セキュリティ機関が推奨するパスワード管理法)
(1)アカウントを整理・分類する
まず、自分が持っているID・パスワード(アカウント)を全て書き出してみる。次に、それを重要度や使用頻度などによって分類する。たとえば、ネットバンキングやクレジットカード、ショッピングサイトなど金銭に関わるもの、SNSやブログなど個人情報が集積しているもの、ほとんど閲覧するだけのニュースサイトや動画サイトなど。リスクの度合いによって分類しておけば、レベルに応じて管理方法を分けることもできる。整理の過程で、パスワードの使い回しや安易なパスワードがないかもチェックする。
(2)パスワードを作成する
パスワードの使い回しや安易なパスワードが見つかれば、新しく強いパスワードを作成し、設定する。できるだけ文字数や文字種が多いパスワードを作成する必要があるが、セキュリティ企業のマカフィーは次のようにアドバイスしている。
・英語の大文字と小文字、数字、記号を組み合わせ、少なくとも8文字以上使用する。
・自分だけの秘密のルールとして、「パスワード生成のアルゴリズム」を決める。たとえば、自分しか知らないキーワードを決め、アクセスするサービスサイト固有の情報を加え、特殊文字などを組み合わせれば、アルゴリズムは見破られない。
図4は、キーボードをパレットにして文字の「W」を描くように文字を追い、「%tGbhU8iK<lp-」という文字列を作成している。この後にサービス毎の固有の情報を加えれば、サービス毎のパスワードを作成できる。「W」に限らず、自分だけのルールを決めれば、覚えやすく推測されにくいパスワードを定期的に作ることができる。
図4 強いパスワードを「秘密のルール」で苦労せず作成できる
(図の出所:マカフィー、注6)
「自分だけの秘密のルール」を活用して強いパスワードを簡単に作成する方法は、日本クレジット協会やセキュリティ企業のトレンドマイクロも、わかりやすい具体例を挙げて説明しているので、参考資料の<注6>を参照していただきたい。
(3)パスワードを安全に保管する
作成したパスワードを安全に管理する方法として、IPA(情報処理推進機構)は、次の3つの方法を紹介している。
紙のメモ:ID・パスワードのリストを紙にメモしておく。金融機関などリスクの高いものついては、IDとパスワードを別々に分けて管理するとよい。あるいはID・パスワードは記載せず、パスワード作成時の「秘密のルール」だけをメモしておくという方法もある。紙の紛失・盗難には十分に気を付け、第三者が見てもわからないように記載したい。
図5 左は「ID」と「サービス名」、右は「パスワード」のリストで、別々に保持する。パソコンと紙、パソコンとスマートフォンなどに分けてもよい。
図5 左は「ID」と「サービス名」、右は「パスワード」のリストで、別々に保持する。パソコンと紙、パソコンとスマートフォンなどに分けてもよい。
(図の出所:IPA、注6)
電子ファイル(パスワード付き):表計算ソフトやテキスト編集ソフトでID・パスワードのリストを作成し、そのファイルにパスワードを設定して保存する。テキスト編集ソフトはファイルにパスワードがかからないので、圧縮ファイルでパスワードを設定する。
パスワード管理ツール:信頼できる専用ツールを使用し、ID・パスワードを保存する。ツールを起動するためのマスターパスワードだけを登録し、それだけを覚えておけばよい。
(執筆:現代フォーラム/熊谷)
<注1>パスワードの使い回し実態を示す資料 ・オンライン本人認証方式の実態調査報告書[PDF](2014年8月、IPA)
http://www.ipa.go.jp/files/000040778.pdf
・パスワードの利用実態調査 2014(2014年6月、トレンドマイクロ)
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140609010140.html
<注2>図1の出所 ・オンライン本人認証方式の実態調査報告書[PDF](2014年8月、IPA)
http://www.ipa.go.jp/files/000040778.pdf
<注3>不正ログインに関する警察庁の記述の変遷 ・平成23年中の不正アクセス行為の発生状況等の公表について[PDF](2012年、警察庁)
https://www.npa.go.jp/cyber/statics/h23/pdf040.pdff
・平成24年中の不正アクセス行為の発生状況の公表について[PDF](2013年、警察庁)
http://www.npa.go.jp/cyber/statics/h24/pdf040.pdf
・平成25年中の不正アクセス行為の発生状況等の公表について[PDF](2014年、警察庁)
http://www.npa.go.jp/cyber/statics/h25/pdf040.pdf
<注4>不正ログインに関する各社のリリース (注4-1)他社流出パスワードを用いた不正ログインについて(niconico)
http://blog.nicovideo.jp/niconews/ni046768.html
(注4-2)他社サービスと同じパスワードを設定している皆様へパスワード変更のお願い(LINE)
http://official-blog.line.me/ja/archives/1004331596.html
(注4-3)SNS「mixi」への不正ログインに関して(ミクシィ)
http://mixi.co.jp/press/2014/0617/12217/
(注4-4)はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い(はてな)
http://hatena.g.hatena.ne.jp/hatena/20140620/1403233254
(注4-5)「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い(サイバーエージェント)
https://www.cyberagent.co.jp/info/detail/id=9036
(注4-6)「あんぱら」への不正ログインに関して(イード)
http://www.iid.co.jp/information/140704/
(注4-7)2014/06/26 CAPAT不正アクセスについて(プラグ)
http://www.cpp.co.jp/capat/topics_0626.html
(注4-8)「バンダイナムコIDポータルサイト」への不正ログイン発生のご報告とパスワード変更のお願い(バンダイナムコゲームス)
https://www.bandainamcoid.com/portal/info?mode=detail&id=48
(注4-9)「無印良品ネットストア」への不正ログインに関するご報告(良品計画)
http://ryohin-keikaku.jp/news/2014_0813.html
(注4-10)Suicaポイントクラブ会員サービスの一部停止について(JR東日本)
http://www.jreast.co.jp/suicapoint/index.html
(注4-11)「なりすましログイン」への対応に関して(リクルートホールディングス)
http://www.recruit.jp/news_data/notification/20140908_7754.html
(注4-12)My JR-EASTへの不正ログイン発生とサービス停止等のご案内[PDF] (JR東日本)(削除済み)
http://www.jreast.co.jp/pdf/20140913_myjreast.pdf
(注4-13)「無印良品ネットストア」への第三者からの不正ログインについて(良品計画)
http://ryohin-keikaku.jp/news/2014_0923.html
(注4-14)クロネコメンバーズWebサービスへの不正ログインに関するお知らせ(ヤマトホールディングス)
http://www.yamato-hd.co.jp/news/h26/h26_43_01news.html
(注4-15)Webサービス会員情報への不正ログインに関するお知らせ(佐川急便)
http://www2.sagawa-exp.co.jp/information/detail/58/
(注4-16)docomo IDへの不正ログインに関するお知らせ(NTTドコモ)
https://www.nttdocomo.co.jp/info/notice/pages/140930_00.html
<注5> ・リスト型アカウントハッキングによる不正ログインへの対応方策について(2013年12月、総務省)
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html
<注6>各セキュリティ機関が推奨するパスワード管理法 ・全てのインターネットサービスで異なるパスワードを!(2013年8月、IPA)
https://www.ipa.go.jp/security/txt/2013/08outline.html
・パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ「STOP!! パスワード使い回し!!」(2014年9月、IPA)
http://www.ipa.go.jp/about/press/20140917.html
・インターネット取引におけるID・パスワードの使いまわしによる不正使用被害にご注意ください(日本クレジット協会)
http://www.j-credit.or.jp/customer/attention/unauthorized.html
・安全で覚えやすいパスワードの作り方(マカフィー)
http://www.mcafee.com/japan/home/security/news/019.html
・破られにくいパスワードの設定と管理のポイント(トレンドマイクロ)
http://is702.jp/partner_pack/130704_partner/01.html