おはようございます。こんにちは。こんばんは。
ミッド(@mid_v_lab)です
最近なにかと忙しいんですが、仕事していたらスマホにこんなメールが届きました。
■件名
「リスト型アカウントハッキング(リスト型攻撃)」による不正ログインの発生とパスワード確認のお願い
■本文(抜粋)
2021年5月24日、弊社が提供しているオンラインプログラミング学習サービス「XXXX」において、外部で不正に取得されたと思われるメールアドレス、パスワードを使った第三者による不正なログインが発生したことを確認いたしました。
ユーザーの皆様に多大なるご心配とご迷惑をおかけいたしますことを深くお詫び申し上げます。
本件につきまして、以下の通りご報告いたします。
(以下略)
パスワードリスト型攻撃は、このサイトからパスワードが漏れたわけではないのですが、リスト型攻撃に対する対策ができていなかったのは不味いですね。
今回はパスワードリスト型攻撃と、自分の使っているサービスで発生した場合の対応に関してです。
パスワードリスト攻撃とは
パスワードリスト攻撃は、他サービスから奪取したログインに必要なID(メールアドレスが多い)とパスワードの一覧を、別のサービスでログインに利用して、情報を採取する攻撃の事です。
例えば、Aサービス・Bサービスで同じIDとパスワードを使って登録していたとします。
Aサービスはクレジットカード情報などの重要情報がないのでサービス事業者がセキュリティにお金を使っておらず、(比較的)容易にサーバ上のアカウント情報を奪取可能でした。
Bサービスはクレジットカード情報から住所、電話番号などの情報が登録されているので、強固なセキュリティを導入していて、外部からの攻撃でアカウント情報やその他情報を奪取することはかなり難しいです。
では、どうするか。
まず、セキュリティの弱いAサービスを攻撃し、IDとパスワードの組み合わせをGETして、BサービスにAサービスでGETしたIDとパスワードをすべて試します。
BサービスにAサービスの利用者がいて、Aサービスと同じIDとパスワードを使っていれば、見かけ上正規のログインとなり、ログイン後に閲覧できる情報を搾取できるわけです。
一度漏洩したIDとパスワードのリストは、ダークウェブという怪しい攻撃者たちのマーケットで販売されていて、何度も何度も流用されます。(攻撃して漏洩した以外にも内部から持ち出されたリストが売られる場合もあります)
そのため、パスワードはそもそも使いまわさない、漏洩したパスワードはすぐに変更することが大事です。
自分の使っているサービスで攻撃が発生した場合の対応
下記2点です。
- 念のため、該当サービスのパスワードを変更する
- 同じパスワードを利用しているサービスがあれば、そちらも変更する
基本的にそのサービスからパスワードが漏洩した訳ではないので、他サービスとで漏洩した情報が該当のサービスのパスワードと異なれば何も問題ないのですが、
パスワードリスト型攻撃を受けて不正ログインを許すサービスは、今度は不正アクセスを受けてアカウント情報を搾取される可能性があるので、
パスワードを変更の上、他のサービスで利用していないパスワードに変更しておきましょう。
また、攻撃を受けたサービスと同じパスワードを利用しているサービスがあれば、そちらも変更しておくと安心ですね。
パスワードリスト型攻撃って、攻撃者側からすると簡単に試すことができて、防御側からは防御するのが手間な攻撃の一つ(攻撃者有利)です。
一気にやらずにちょっとずつ試行されたら、攻撃されたことにすら気づかない会社もありそうです。パスワード誤りのログ件数は確認しましょう。(通常1日10件が100件になっていたらおかしいなど、まずは数値で判断。)
ではでは
