知って得するセキュリティのはなし その102
転職サイトに「パスワードリスト型攻撃」による不正ログイン…約21万人分の履歴書流出か
1.このニュースをザックリ言うと
- 2月12日(日本時間)、マイナビ社より、同社が運営する転職者向け情報サイト「マイナビ転職」が不正ログイン攻撃を受けたと発表されました。
- 不正ログイン攻撃は1月17日~2月9日にいわゆる「パスワードリスト型攻撃」で行われたとされ、2000年以降同サイトに登録されていた212,816名分(退会者除く)のWEB履歴書にアクセスされた恐れがあるとのことです。
- 同社では2月9日に不正ログインを遮断した後、全ユーザーのパスワードリセットやreCAPTCHAの採用等の対応を行ったとのことです。
2.執筆者からの所感等
- 外部サービスから奪取されたメールアドレス・パスワードのリストを用いての「パスワードリスト型攻撃」は既にWebサイトへの不正ログインと情報等の奪取における定番となっており、複数のサイトで同じパスワードを使い回さないよう啓発するキャンペーンも長年行われていますが、今も頻繁に不正ログインが発生する事例が報告されています。
- ボット等の機械的な不正ログインを抑制するために用いられるreCAPTCHAでは、近年画像認証の前にカーソルの動きで相手を判定する等、人間側の利便性を損なわない手法も提供している一方、組織的な人力でreCAPTCHAを通過しようとする攻撃者もいるとされ、いたちごっこは今後も続くとみられます。
- ユーザー側においては自衛のため、これまでの啓発に則って推測されにくいパスワードをサイト毎に生成し、場合によっては生成から保存までツールによる管理も視野に入れることを改めて心がけて頂ければ幸いです。