止まらぬ不正ログイン被害、パスワード管理はどうする？：セキュリティ強化塾（1/4 ページ）

被害が増え続ける不正ログイン事件。パスワードは1件当たり「1円未満」で入手できるらしい。アナタの重要資産を守るパスワード管理とは

[キーマンズネット]

　2013年から2014年にかけて頻発するオンラインバンキングでの不正送金事件。2014年5月時点で既に総額約14億1700万円にのぼる被害が生じた。多くはウイルス感染を利用して、偽画面にログインID／パスワードや取引パスワードの入力を促して情報を窃取し、本人になりすまして不正ログインと不正送金を行う手口だ。

　また、流出したID／パスワードをリスト化して無関係なサイトに向けて一斉に不正ログインを試みる「パスワードリスト攻撃」も激しさを増し、安全なパスワード管理は企業、組織、個人を問わず、重要性を増した。今回は不正ログインを招かないパスワード管理の方法を考えてみよう。

不正ログインが止まらない、数百万件の試行で約1割がパスしてしまう現実

　2014年上半期に発覚したパスワードリスト被害は、下表の様に深刻さを増している。

表1 2014年1月〜6月のパスワードリスト攻撃被害状況

　パスワードリスト攻撃は、どこかのサイトから流出したID／パスワードなどの情報を悪用し、別のサイトに機械的な方法でログインを試みる手口のこと。2014年7月以降、表に上げた企業以外にも、リクルートグループやNTTドコモ、JR東日本などの多くのサービスが不正にログインされた。

　原因は、ユーザーが複数のサービスで同じID／パスワードを流用することだ。1つのサービスのID／パスワードが漏れると、正規のユーザーになりすまして別のサービスにログインできるわけだ。攻撃は1日で終わるわけではなく、数日かけて行われることが多く、中には1年も継続した（その間、気付かれることがなかった）ケースもある。

　上表に見る通り、大規模に展開されることが多く、不正ログインの成功率もときには10％近い高確率であることが、これまでのパスワードクラッキングとは異なる特徴だ。

　不正ログインが成功すると、ユーザーの機密情報が攻撃者に知られて悪用されたり、換金可能なポイントやクーポンなどが窃取されたりと多大な迷惑や金銭的被害が生じる可能性がある。サービスの提供者にしてみれば、サービスが不正に利用される不利益の他、ユーザーへの事実報告が社会的責任として求められるし、場合によってはおわびや損害賠償にも発展しかねない。

　特にセキュリティ管理に問題がなくても、社会的に悪評が立つ懸念があり、顧客離れなどの損害が生じるかもしれない。ID／パスワードは正規のものが使われるので、なかなか気付けず、対応が後手に回りがちなことも問題視される。

　パスワードの窃取と悪用の手口で、同様に猛威をふるうのがオンラインバンキングのユーザーを狙う不正送金犯罪だ。ウイルスをメールやWebサイトに仕込んでPCに感染させ、偽のログイン画面や取引画面を表示してユーザーに誤認させる。ログイン情報と取引情報などを入力すると、そのデータが攻撃者に自動送信される。

　アカウントを乗っ取られて、不正送金が行われるという仕組みだ。情報窃取を目的にした攻撃ツールに不正送金機能が追加された上、犯罪グループが形成されたとも考えられるので、さらに攻撃が増加する可能性がある。十分な警戒が必要だ。

　このような不正ログインが横行する今、ユーザーやシステムにはどのような対応が求められるのか。