SNSやオンラインショッピング、クラウドストレージなど、私たちの生活は数多くのオンラインサービスと密接に関わっています。しかし、便利な一方で、アカウント情報の不正利用という深刻なリスクも存在します。
中でも被害が拡大しているのが「パスワードリスト攻撃」です。
本記事では、パスワードリスト攻撃とはどのようなものか、その具体的な仕組みや背景、そして被害を防ぐために個人や企業がとるべき具体的な対策について、わかりやすく解説します。
まずは「パスワードリスト攻撃」とは何か、その概要と背後にある仕組みについて理解しておきましょう。
この攻撃は誰もが被害者になる可能性がある、非常に身近な脅威といえます。
パスワードリスト攻撃とは、過去に流出したID(メールアドレスやユーザー名)とパスワードの組み合わせを利用して、オンラインサービスへのログインを試みる攻撃手法です。攻撃者は、こうしたIDとパスワードのセットを「リスト化」し、自動化されたツールを使って、さまざまなサービスに次々とログインを試行します。
この攻撃が成功しやすい理由のひとつは、ユーザーが複数のサイトで同じIDとパスワードを「使い回す」傾向にあるためです。たとえば、あるショッピングサイトからパスワードが流出した場合、その情報をもとにSNSやクラウドサービスにまで不正ログインされる可能性があるのです。
パスワードリスト攻撃の核となるのが、いわゆる「漏洩パスワードリスト」です。これは、過去の情報漏洩事件により流出した大量のIDとパスワードの組み合わせを集めたデータベースで、ダークウェブなどの非公開なネットワークで、不正に売買されています。
これらのリストには、数万件から数億件におよぶアカウント情報が含まれており、攻撃者はこうした情報を格安で入手することができます。リストが実在する情報に基づいているため、総当たり攻撃よりも効率が良く、成功率も高くなっています。
単なるパスワードの漏洩だけでは終わらないのが、パスワードリスト攻撃の怖さです。
ここでは、どのように攻撃が実行され、なぜうまくいくのか、そして他の攻撃との違いについて詳しく見ていきます。
攻撃者はまず、漏洩したパスワードリストを入手します。そして専用の自動化ツールを用い、その情報を元に複数のWebサイトに対してログインを繰り返し試みます。この過程は通常、完全に自動化されており、1秒間に数百〜数千件もの試行が可能です。
攻撃が成功した場合、攻撃者はそのアカウントに自由にアクセスできるようになり、個人情報や支払い情報の窃取、成りすまし行為、さらなる攻撃への足がかりとして利用することがあります。
そもそも、どうしてパスワードが流出してしまうのでしょうか。主な原因は、企業やサービス事業者が保有するシステムに対して行われるサイバー攻撃です。攻撃を受け、データベース内のアカウント情報(ID、パスワードなど)が盗まれてしまうことが、最も多い原因です。
具体的には、以下のような攻撃があげられます。
・SQLインジェクション
:Webサイトの脆弱性を悪用して、データベースへ不正アクセスされる。
・フィッシング
:偽のログイン画面などを使って、ユーザーから直接IDやパスワードを盗み出す。
・セキュリティ運用の不備
:パスワードを平文で保存していたり、暗号化が不十分であることが原因で流出してしまう。
攻撃が成功しやすい主な理由は、利用者側の「パスワード管理の甘さ」にあります。
最も多いのが、パスワードの使い回しです。複数のオンラインサービスで同じパスワードを使用していると、ひとつのサービスから流出した情報が、芋づる式に他のサービスでも悪用されてしまいます。
また、ユーザーのセキュリティ意識の低さも原因です。誕生日や「123456」といった単純なパスワードを使っていたり、辞書に載っているような簡単な文字列(「password123」、「welcome」など)を使用したりすると、簡単に突破されてしまいます。
パスワードリスト攻撃は、既に実在するIDとパスワードのセットを試す「リスト型攻撃」であり、短時間で高い成功率が期待できます。
一方で、総当たり攻撃(ブルートフォース攻撃)とは、パスワードを1文字ずつすべての組み合わせで試す「総当たり方式」です。こちらは時間も手間もかかるため、リスト型攻撃の方が実用的かつ効果的といえるでしょう。
実際にどのような被害が起きているのかを知ることで、パスワードリスト攻撃の恐ろしさがより現実的に感じられるはずです。
ここでは実際の事例や攻撃の手口について詳しく紹介します。
攻撃者は、HydraやMedusaといった、パスワードリスト攻撃用の自動ログインツールを使って、短時間で大量のアカウントにアクセスを試みます。また、セキュリティ監視をかいくぐるために、ボットネットやプロキシを使用してIPアドレスを頻繁に変更するなど、非常に巧妙な方法が用いられます。
狙われるのは、私たちが日常的に利用している以下のようなサービスです。
・ECサイト(Amazon、楽天など)
・クラウドストレージ(Google Drive、Dropboxなど)
・企業の業務用クラウドサービス(Microsoft 365、Google Workspaceなど)
・SNS(X、Instagram、Facebookなど)
中でも、クレジットカード情報や個人情報を含むサービスは、特に狙われやすいといえるでしょう。
パスワードリスト攻撃による実際の被害事例を、いくつかご紹介します。
① 不正送金被害:金融関連サービス
ある決済サービスでは、外部から流出したID・パスワードを使用した不正アクセスが確認されました。攻撃者は、本人確認が甘い仕様を突き、他人名義の銀行口座をサービスと連携。その結果、複数の銀行から合計数千万円もの預金が不正に引き出されてしまいました。
② フリマアプリでの不正購入
大手フリマアプリで、不正ログインによる被害が多数報告されました。ログインに成功したアカウントの登録済みクレジットカード情報を利用して、さらに商品を購入するという被害もありました。対象となったアカウントは1万件を超え、運営側は被害拡大防止のためパスワードの初期化とセキュリティ対策を強化しました。
③ ゲームアカウントの乗っ取りと不正利用
あるオンラインゲームサービスで、過去に流出したログイン情報を使ったパスワードリスト攻撃が発生したこともあります。攻撃者は、他人のアカウントにログインしたうえで、ゲーム内通貨や連携された支払い方法を悪用し、高額なデジタルアイテムを購入しました。被害件数は十数万件にのぼり、サービス提供側は、ログイン方法の見直しと多要素認証の導入を進めたとのことです。
パスワードリスト攻撃の脅威に対抗するためには、日頃からの予防と適切な対策が欠かせません。
ここでは、個人・企業の両面から有効な対策を、具体的に紹介します。
安全なパスワードには、以下のような条件が求められます。
・大文字・小文字・数字・記号を組み合わせる。
・15文字以上の長さにする。
・意味のある単語や名前、誕生日などは使わない。
・サービスごとに異なるパスワードを設定する。
これを実践するためには、パスワード管理ツールの利用が有効です。
代表的なものに「1Password」、「LastPass」などがあります。
多要素認証とは、ログイン時にパスワード以外の「別な要素」でも認証を行う仕組みです。
以下のような方法があります。
・スマートフォンの認証アプリ(Google Authenticatorなど)
・生体認証(指紋・顔認証)
・SMSによるワンタイムパスワード送信
これにより、たとえIDとパスワードが漏洩しても、不正ログインを防ぐことができます。
従来は「定期的なパスワード変更」が推奨されていましたが、現在では「強固なパスワードを長期間使う」「使い回しをしない」ことの方が重要とされています。パスワード変更のタイミングは、情報漏洩の兆候がある場合や、セキュリティインシデント発生時が適切とされています。
パスワードリスト攻撃は、日常的に私たちの身近に存在する非常に現実的なサイバー脅威です。「自分には関係ない」と油断していると、気づかないうちに被害に遭ってしまう可能性があります。
重要なのは、攻撃の仕組みとリスクを理解した上で、適切な対策を講じることです。強固なパスワードの作成や使い回しの防止、多要素認証の導入など、今すぐ実践できるセキュリティ対策を講じることで、被害を未然に防ぐことができます。
個人も企業も、自分自身のアカウントを守るために、日頃からセキュリティ意識を高め、実効性のある対策を継続的に行うことが何よりも大切です。
