何らかの方法で入手したIDとパスワードのリストを使い、サービスへのログインを試みる不正ログイン被害が後を絶たない。9月に公表されたものだけでも、5つのサービスで8万件を超えるアカウントが被害を受けている。
9月に被害を受けた各社の公表内容は、別掲のとおり(下欄参照)。いずれも、ID/パスワードが自社から流出したことは確認できておらず、外部から取得したID/パスワードを使用したなりすましログインと結論付けている。
この手の攻撃は、2011年頃から顕著になりはじめており、特に去年から今年にかけは、被害規模の大きな攻撃が相次いでいる。これまでに公表された不正ログインの被害件数を集計してみたところ、昨年は10万件を超える被害を出した事例が3件あり、1年間の被害総数は約85万件だった。今年も、6月
に20万件を超える大規模な被害が相次ぎ報告されており、9月末時点での被害総数は約79万件となっている。
■不正ログイン対策
複数のサービスのアカウントを持っているユーザーは、覚えきれないといった理由から、同じID/パスワードを登録してしまうことがある。ID/パスワードリストを使用した攻撃は、この点に目を付けたもの。同じID/パスワードを使いまわしているユーザーを狙った攻撃なので、使いまわしていなければ被害を受けることはない。ただし、使いまわしさえしなければ、不正ログイン被害を回避できるというわけではない。
使いまわし以前にやっておかなければいけない最重要課題が、強固なパスワードの設定だ。あなた自身の情報から類推しやすいものやパスワードに使われがちな単語は避け、機械的なパスワード破りに耐えられるように、多くの文字種を使った長いパスワードを設定する。これが、ID/パスワードリストを使用した攻撃以前から行われていた、そして現在も行われている別の不正ログイン攻撃に対する対策だ。
類推しやすいものを避けるのは、あなたを知っている人やあなたのプロフィールや書き込みを見た人からの攻撃への耐性を高める。パスワードに使われがちな単語を避けるのは、この手のパスワードリストを使った攻撃への耐性を高める。多くの文字種を使った長いパスワードは、1文字ずつ文字を変えて試行する総当たり攻撃への耐性を高める。一般には、英字の大文字と小文字、数字、記号を織り交ぜた8文字以上が安全ラインとされており、文字種に制限がある場合は、パスワードを長くしてカバーする。例えば、記号が使用できないなら9文字に、さらに大文字小文字が区別されないなら11文字に、数字だけしか使用できない場合には16文字にすると、全文字種を使った8文字のパスワードと同等の総当たり攻撃への耐性が得られる。
強固なパスワードを設定したうえで、さらに使いまわさないようにすると、所持しているアカウント数が増えるに連れて、記憶しておくのが難しくなってしまう。覚えきれないなら、別の方法で管理すればよい。メモしておくのもひとつの方法だし、パスワードを管理する専用ソフトも多数ある。
(2014/10/02 ネットセキュリティニュース)
【関連URL】
・docomo IDへの不正ログインに関するお知らせ(NTTドコモ)
https://www.nttdocomo.co.jp/info/notice/pages/140930_00.html
・Webサービス会員情報への不正ログインに関するお知らせ(佐川急便)
http://www2.sagawa-exp.co.jp/information/detail/58/
・クロネコメンバーズWebサービスへの不正ログインに関するお知らせ(ヤマト運輸)
http://www.yamato-hd.co.jp/news/h26/h26_43_01news.html
・My JR-EASTへの不正ログイン発生とサービス停止等のご案内[PDF](JR東日本)
http://www.jreast.co.jp/pdf/20140912_myjreast.pdf
・「なりすましログイン」への対応に関して(リクルートホールディングス)
http://www.recruit.jp/news_data/notification/20140908_7754.html