4月に入り、JR東日本の「My JRE-EAST」、NTTレゾナントの「goo」、NTT東日本の「FLET'S光メンバーズクラブ」、イーブックイニシアティブジャパンの「eBookJapan」と、国内大手サイトで不正ログイン被害が相次いだ。不正ログインの代表的攻撃手法と、ユーザーが行える自衛策をご紹介する。
これら一連の不正ログイン事件は、いずれも機械的に大量のログインを繰り返し、認証を突破しようとするもので、実際にログインされてしまう被害も出ている。試行パターンや成功率の高さから、ID/パスワードのリストを使った攻撃と見られている。実際にログインされてしまった不正アクセス被害は、「goo」が10万8716件、「eBookJapan」が779件、「FLET'S光メンバーズクラブ」107件、「My JRE-EAST」が97件と発表されている。
また、警察庁が昨年2月、ネットサービスの提供会社13社の協力を得て行った調査では、こうした攻撃と思われるものが26万896回検出され、6.7%にあたる1万7514回の成功が観測されている。都道府県警察が一部の事業者から提供された資料では、同年5月以降に、不正ログイン攻撃による不正アクセスが11万4013件報告されているという。
不正ログイン攻撃に対してはサイト側での対策も進められているが、ユーザー自身が行う自衛策も重要となる。以下、代表的な攻撃手法と、それに有効な自衛策をご紹介する。
■総当たり攻撃(ブルートフォース攻撃)――PWの文字数・文字種を増やす
機械的に大量試行する古典的な手法で、パスワードを1文字ずつ変えながら手当たり次第に試行していく。たとえば2桁の暗証番号なら組み合わせは100通りしかないので、手作業で00、01、02…と順に試していくだけでも、それほど時間をかけずに合致するものを見つけ出すことができる。これを、ツールを使って機械的に行う。時間をかけ全ての組み合わせを試行すれば、いつかは必ず正解にたどりつける方法だが、パスワードに使用している文字種や文字数が増えるにつれて、組み合わせが指数的に増え、破るのは現実的ではなくなる。すなわち、この攻撃への耐性を高める効果的な自衛策は、「パスワードの文字数を増やす」「使用する文字種を増やす」ことだ。この手法は、あまりに効率が悪くオンライン向きではないが、高速に処理できるローカル環境ではそれなりの効果があり、ドキュメントファイルにかけたパスワードを忘れてしまった時に使う、パスワード解析ツールで活躍している。
■辞書攻撃――ありがちな言葉をPWにしない
ユーザーは、覚えやすさを優先するあまり、単語のような意味のある単純なものをパスワードに設定していることがある。この手のパスワードならば、全ての文字の組み合わせを試行するよりも、ありがちなパスワードを次々に試行した方が、効率よく突破できる可能性がある。この種の総当たり攻撃を特に辞書攻撃といい、先ごろ世界規模で行われた、ブログシステム「WordPress」の大規模攻撃に使われたようで、攻撃に使われた1000種類余りの「よくあるパスワード」も公表されている。安易なパスワードを使用している脆弱なアカウントを狙うこの攻撃への耐性を高めるには、「ありがちな安易なパスワードを使わない」が効果的な自衛策である。
■リスト攻撃--ID/PWの使いまわしをしない
国内の大手サイトで相次いだ不正ログイン被害は、何らかの方法で手に入れたユーザーIDとパスワードの組み合わせを次々に試行する、リストを使った攻撃と見られている。あるサイトのID/パスワードと同じ組み合わせを、別のサイトでも使用していると、一方のサイトのログイン情報で、もう一方のサイトのアカウントも突破されてしまうことになる。複数のサイトで同じID/パスワードを使いまわしていると、この攻撃にもろくなってしまう。
特にIDをユーザー自身が設定できるサイト、メールアドレスをIDとして使用しているサイト、メールアドレスの「@」の左側がユーザーIDといったサイトについては、同一になってしまうことが多いので、パスワードの設定には注意が必要だ。サイトに登録するメールアドレスなどの登録情報(複数サイト間での名寄せや新たなID/パスワードの組み合わせの生成に使われるおそれがある)も含め、これらと「パスワードの組み合わせが同じにならないようにする」ことが、この攻撃への効果的な自衛策となる。
■管理しきれなくなったら「アカウント管理ツール」利用を
攻撃耐性の高いアカウントは、数が多くなると管理しきれなくなる問題が生じる。パスワードを忘れ、ユーザー自身がログインできなくなってしまう。これを避けるために耐性を下げようと考えるのは止めたい。まずは、忘れないように紙に書き留めておく方法を選択したい。より安全に効率よく管理するなら、アカウント管理ツールの導入がお勧めだ。
パスワード管理ソフト、パスワードマネージャなどとも呼ばれるこのツールは、複数のアカウントを書き留めておく、鍵付きのメモ帳のようなものだ。サイトごとの複雑で長いパスワードは全てツールが管理してくれるので、ユーザーはそれを取り出すためのマスターパスワードを覚えておくだけで済むようになる。堅牢なパスワードの生成機能やブラウザへの自動入力機能などを備えた製品も多く、使用するパソコンやスマートフォン全てに対応したクラウドベースの製品ならば、機器間で自動的に同期してくれるので、設定・変更は1台だけの操作で済む。
■アカウントをより堅牢にする「2段階認証」
ポータルサイトやオンラインゲームなどで、最近積極的に採用されつつあるのが、「2段階認証」と呼ばれる機能である。これは、ログイン時に行う通常のID/パスワードによる認証に、もう1段別の認証を加えたものだ。2段階目の認証で入力する暗証番号は、あらかじめ登録したメールやショートメッセージサービス、音声通話で送られてくる。あるいは、インストールした専用アプリに表示される。この暗証番号はその都度変わるので、1段階目のID/パスワードが突破されたとしても、ここで食い止めることができる。
システムによっては、認証済みの機器やアプリに対しては、その後は通常の認証だけで済むように設定できるところもある。特定の環境からのアクセスは、従来通りの通常認証だけでログインできるが、その他のアクセスに対しては、2段階の認証でセキュリティを高めるという棲み分けができるわけだ。
ご利用のサイトが2段階認証をサポートしている場合には、アカウントを守るために、ぜひ利用してみてはいかがだろうか。
(2013/04/24 ネットセキュリティニュース)
【関連URL】
<NTTレゾナント>
・[04/03]gooIDアカウント不正ログイン被害について
http://pr.goo.ne.jp/detail/1701/
・[04/04]gooIDアカウント不正ログイン被害について(続報)
http://pr.goo.ne.jp/detail/1702/
・[04/09]gooIDへの不正ログイン被害について(終報)
http://pr.goo.ne.jp/detail/1703/
<NTT東日本>
・[04/04]フレッツ光メンバーズクラブ会員サイトへの不正アクセスについて[PDF]
http://www.ntt-east.co.jp/release/detail/20130404_02.html
・[04/10]不正アクセスへの対応等について
http://www.ntt-east.co.jp/release/detail/20130410_01.html
<イーブックイニシアティブジャパン>
・[04/05]不正ログイン被害のご報告とパスワード再設定のお願い(eBookJapan)
http://www.ebookjapan.jp/ebj/information/20130405_access.asp
<JR東日本>
・[04/17]My JR-EASTでの不正ログイン発生とご利用のパスワード変更のお願い [PDF]
http://www.jreast.co.jp/pdf/20130417_myjreast_login.pdf
<警察庁>
・平成23年中の不正アクセス行為の発生状況等の公表について[PDF]
http://www.npa.go.jp/cyber/statics/h23/pdf040.pdf
・平成24年中の不正アクセス行為の発生状況の公表について[PDF]
http://www.npa.go.jp/cyber/statics/h24/pdf040.pdf
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況[PDF]
http://www.npa.go.jp/cyber/statics/h24/pdf041.pdf