Webサイトに不正アクセスを許してしまうリスト型攻撃とは？

2019年7月の7pay不正アクセス問題の際に初めて「リスト型攻撃」という言葉を聞いた方は多いのでは？

このリスト型攻撃（パスワードリスト攻撃・リスト型アカウントハッキング）とは、悪意を持った攻撃者が何らかの方法で入手したID・パスワードのリストを使い、さまざまなWebサイトに正規ユーザーを装って不正にログインしようとするものです。

「自分は大丈夫」と思っていても、いざ不正ログインされてしまうとECサイトで何十万円も買い物されたり、銀行から勝手に引き落としされたりすることも。そこで今回は、このリスト型攻撃が多用されている理由、そしてリスト型攻撃に遭った際の対策をご紹介します！

リスト型攻撃が増加した理由はユーザーのパスワード管理の甘さ

従来、不正ログインというと、IDとパスワードで可能な組合せを全て試す、「総当たり攻撃」が多く使われていました。しかし、この方法では正しいパスワードの解読に時間がかかることや、複数回誤入力が続くとアクセス禁止になってしまうこともあり、確実性はあまり高くありません。

そこで短時間でも比較的容易にログインができる方法として使われるようになったのが、リスト型攻撃です。ではなぜ、リスト型攻撃は容易に不正ログインができてしまうのか？　それは複数のWebサイトで同じパスワードを使い回すユーザーが多いからです。

例えば攻撃者は、AというSNSでIDとパスワード情報を入手。これを使いBというECサイトに正規のルートから不正アクセスを試みたとしましょう。もし両方に登録しているユーザーが同じID、パスワードを使っていれば、攻撃者は何度もIDとパスワードの組み合わせを試すことなく、1回で簡単にログインできてしまいます。

2017年にトレンドマイクロが行った「パスワードの利用実態調査2017」によると、複数のWebサイトでパスワードを使い回しているユーザーの割合は実に85.2%。この結果を見ても、攻撃者がリスト型攻撃を使う最大の理由は、ユーザー側のパスワード管理の甘さにあるといってもよいでしょう。

リスト型攻撃の被害に遭わないための対策は？

では、リスト型攻撃の遭わないためには、どういった対策が必要なのか？　それは、当然ながら複数のWebサイトで同じパスワードを使い回さないことです。でも、1つや2つならともかく、数多くのWebサイトに登録していて、そのすべてのパスワードを違うものにしたら覚えるのが大変ですよね。そこでおすすめしたいのが、トレンドマイクロの「パスワードマネージャー」です。

パスワードマネージャーとは、ユーザーに変わってIDとパスワードを記憶、管理してくれるツールなので、いくつパスワードをつくっても自分で覚えておく必要はありません。BIGLOBEでは、このパスワードマネージャーを毎月150円（税抜・初月無料）で利用できます。

▼「BIGLOBEパスワードマネージャー」の詳細はコチラ

またパスワードではなく、IDを別々にするのも対策として有効です。一般的にIDはメールアドレスを使うことが多いので、それぞれのWebサイトで別々のメールアドレスで登録します。こちらでその方法を紹介していますので、ぜひ参考にしてくださいね！

関連記事

・情報漏えい対策としてメールアドレスを使い分けてみませんか？
・オフィスのパソコンやスマホ、タブレットを安全に。「マカフィー マルチ アクセス」を体験してみた
・「パスワードが覚えきれない・・」そんなあなたにおすすめのパスワード管理アプリ3選