知って得するセキュリティのはなし その50
約6,500万件のアカウントによる「リスト型攻撃」のプログラム発見、メー ルの不正アクセスでサービス絞り込み
1.このニュースをザックリ言うと
- 1月16日(日本時間)、茨城県警より、2019年5月に押収したサーバーから、Webサイトのアカウント情報約6,500万件が発見されたと発表されました。
- また、日本サイバー犯罪対策センター(JC3)が県警と連携して当該サーバーを調査したところ、このアカウント情報を利用した「リスト型攻撃」を効率的に実行するプログラムが発見されたとしています。
- JC3では同日、ここで発見されたとみられる中国語およびロシア語の攻撃プログラムの画像を提示した上で、リスト型攻撃への対策として「複数のオンラインサービスの間で同じパスワードを使いまわさない」よう注意喚起しています。
2.執筆者からの所感等
- JC3による攻撃プログラムの解説によれば、奪取したアカウント情報(ID・パスワード)でまず電子メールサービスに不正ログインを行い、メールの内容を検索してそのユーザーが利用しているWebサイトを把握した上で、そのサイトへの不正ログインを行うとしており、攻撃対象のサービスの絞り込みによる不正ログインの効率化を行っていることが大きな特徴とされています。
- 先週のAUS便り(2020/1/20号)でリスト型攻撃の事件を取り上げた際、メールサービスが狙われる可能性も挙げていましたが、このようにターゲットの絞り込みに利用される可能性もあるため、Webサービスと同様、あるいはそれ以上にアカウントの保護に注意を払うべきです。
- リスト型攻撃への対策の一つに「他のサービスと共有していない、推測されにくいパスワードを設定する」ことが挙げられますが、JC3ではそのためにパスワードやその他アカウント情報をテキストファイルで保存することは流出のリスクがあるとし、信頼のおけるパスワード管理ソフトを利用する等、適切な保管を心がけることも呼び掛けています。