最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆狙われる国内オンラインゲーム~大量送出された日本語の偽メールに注意(2013/07/22) | メイン | ◆ネットバンキング不正送金急増~上半期の被害は2億円越、ウイルス感染に注意(2013/07/25) »

2013/07/24

◆「リスト攻撃」成功率が示す、「ID/パスワード使い回し」の危険(2013/07/24)

 今年4月頃から始まった、国内の大手会員制サイトを標的とした不正ログイン攻撃が相変わらず続いている。被害サイトが公表したログイン試行回数と成功数が示す「成功率」は、複数サイトでID/パスワードを使いまわす危険を教えてくれる。

 不正ログイン攻撃は執拗に続いており、先月はハピネットやニッセンの通販サイトが、今月は任天堂やコナミ、ニフティが、相次ぎ被害を報告している。これら一連の不正ログインは、何らかの方法で入手したID/パスワードリストを別のサイトに用い、次々と機械的なログインを繰り返して認証を突破する攻撃と見られている。同じIDとパスワードの組み合わせを、複数のサイトで使いまわしているユーザーを探し出そうとする攻撃だ。

■「リスト攻撃」の成功率

 ID/パスワードリストを使った攻撃がどれくらい成功するかは、サイト間でのユーザーの重複度と、ID/パスワードを使いまわしているユーザー数による。次の表は、これまでに不正ログインの被害報告のあったサイトのうち、ログインの試行回数と成功数が公表されているものをまとめたものだ。eBookJapanが3回に1回という高確率だが、その他は、数十から数百回の試行で1件の突破である。ちなみに、パスワードを1文字ずつ変えながら行うオーソドックスな総当たり攻撃の場合、成功率は、これよりも数桁から十数桁低くなり、オンライン攻撃での使用は現実的ではなくなってしまう。

  成功数   試行回数  成功率
eBookJapan    779      2,210 35.25%
ディノス   15,000  1,110,000  1.35%
ニッセン     126     11,031  1.14%
コナミ    35,252  3,945,927  0.89%
JR東日本     97     26,000  0.37%
NTT東日本      77     24,000  0.32%
資生堂      682    240,000  0.28%
三越伊勢丹   8,289  5,202,002  0.16%
任天堂    23,926 15,457,485  0.15%

■「辞書攻撃」の成功率

 機械的な試行で比較的効率よく認証を突破する方法に、ありがちなパスワードを次々に試行する、辞書攻撃とよばれるものがある。特定のアカウントの突破には、IDを固定してパスワードを変化させるやり方を用いるが、パスワードを固定してIDを変化させていくと、特定のパスワードを使用しているユーザーを探し出す攻撃になる。

 一連の不正ログインの報告には、辞書攻撃だとするものがなかったので、ある国外の会員サービスから流出した、約6万件のID/パスワードリストをもとに、辞書攻撃の成功率を試算してみた。

 約6万件のアカウントのうち、約5千個のパスワードが2つ以上のアカウントで重複して使われており、233個は10以上のアカウントで、3個は100以上のアカウントで重複していた。最も多く使われていたパスワードは、「123456」で、全体の0.94%(6万616アカウント中567)を占める。すなわち、実在する約100個のIDに対し、「123456」というパスワードでログインを試行すると、1個くらいはログインできる可能性があるわけだ。
 試行するパスワードの数を増やすと、成功率は次第に落ちて行く。次の表は、使用頻度の高いパスワードから順に使用した場合、既定の成功率に収めるために何個までパスワードを使用できるかを試算したものだ。

 ログイン用のIDが表に表示されるサービスの場合、機械的な方法で大量のIDが収集でき、これにありがちな数個のパスワードを組み合わせて試行すれば、こちらもそう悪くない成功率でアカウントを突破できそうだ。

成功率 使用するパスワード数
0.6%  2個
0.5%  3個
0.4%  4個
0.3%  6個
0.2% 12個
0.1% 40個

■不正ログインの被害者にならないために

 インターネット上の会員制サービスのほとんどは、IDとパスワードによる認証で会員本人であることを確認する。パスワードは、そのIDの使用者が本人であることを証明するためのもので、正しいパスワードが入力されると、システムは「パスワードを知っている人=本人」とみなしサービスを提供してしまう。

 安易なパスワードの使用は、このパスワード認証システムを自らの手で脆弱なものにしてしまい、パスワードの使いまわしによって、不正ログインや不正使用の連鎖が拡大してしまう。不正ログイン攻撃が相変わらず続き被害が広がる中、数十~数百人に1人の被害者にならないよう、下記トピックスなどを参考に、アカウントの保護対策を見直してみてはいかがだろうか。

(2013/07/24 ネットセキュリティニュース)

【参考URL】
・不正ログイン被害のご報告とパスワード再設定のお願い(eBookJapan)
http://www.ebookjapan.jp/ebj/information/20130405_access.asp
・パスワード変更のお願い[PDF](ディノス)
http://www.dinos.co.jp/guide/info/pdf/20130508-1.pdf
・〔第二報〕[PDF](ディノス)
http://www.dinos.co.jp/guide/info/pdf/20130509.pdf
・〔第三報〕[PDF](ディノス)
http://www.dinos.co.jp/guide/info/pdf/20130513.pdf
・〔第四報〕[PDF](ディノス)
http://www.dinos.co.jp/guide/info/pdf/20130516-1.pdf
・ニッセンオンラインへの不正ログインについて、およびお客様へのお願い[PDF](ニッセン)
http://www.nissen-hd.co.jp/ir/pdf/IR_13_06_19_1.pdf
・「KONAMI IDポータルサイト」への不正ログイン発生のご報告とパスワード変更のお願い(コナミ)
http://www.konami.jp/osirase/130709/
・My JR-EASTでの不正ログイン発生とご利用のパスワード変更のお願い [PDF](JR東日本)
http://www.jreast.co.jp/pdf/20130417_myjreast_login.pdf
・フレッツ光メンバーズクラブ会員サイトへの不正アクセスについて(NTT東日本)
http://www.ntt-east.co.jp/release/detail/20130404_02.html
・不正アクセスへの対応等について(NTT東日本)
http://www.ntt-east.co.jp/release/detail/20130410_01.html
・ワタシプラスにおける不正ログイン被害について(資生堂)
http://www.shiseido.co.jp/announcement/201305/20130517.html
・三越オンラインショップ・不正アクセスについて[PDF](三越伊勢丹ホールディングス)
http://www.imhds.co.jp/ir/pdf/news_release/hd/2013/130525_news01.pdf
・「クラブニンテンドー」サイトへの不正ログイン発生のご報告とパスワード変更のお願い(任天堂)
http://www.nintendo.co.jp/support/information/2013/0705.html

投稿情報: 10:47 |

|