スマホ選びで人生は少し変わる [PR]

パスワード流出時に”ほぼ必ず”発生する二次被害の訳「パスワードリスト攻撃」

PR

SHARE

本記事の内容は2020年5月3日時点の情報です。
11月21日(木)の最新情報は各社公式サイトをご参照ください。

前回の記事で、「パスワード流出」がいかに身近なものかご紹介しました。
参考:実は身近で起こっているパスワード流出

意外と知られていない、パスワード流出後に起きる、もっと恐ろしい2次被害について解説していきます。
「パスワードリスト攻撃」について理解されている方は、この記事は読まなくて大丈夫です!

パスワード漏洩時、二次被害が必ず発生する

セキュアなパスワードの決め方・管理方法をご紹介する前に、なぜサイトごとに固有のパスワードを使う必要があるのかご紹介させてください。

※「パスワードリスト攻撃」について理解されていらっしゃる方は、この項目を読み飛ばして頂いて大丈夫です。

自分が登録しているサイトやサービスで、ハッキング・不正アクセスが発生し、パスワードやメールアドレスが流出した場合、ほぼ間違いなく二次被害が発生します。(パスワードを使いまわしている場合)

ハッカーの目的は金融資産

そもそも不正アクセスや個人情報を盗み取ろうとするハッカー集団の目的は、個人情報よりもお金が目的です。

クレジットカード情報を盗んで不正利用したり、仮想通貨を盗み取ったり、口座の残高を盗み取ったり、とにかく金目のものが目的です。

にも関わらず、ハッカーは、金融系のサイトや証券会社のサイトへの不正アクセスは狙いません。

なぜでしょうか?

金融・証券以外のサイトが狙われる理由

金融系サイトのセキュリティが非常に高度で複雑なものである為、狙ってもセキュリティを突破できない。というのが定石です。
(コインチェックのようにセキュリティが突破されるケースは稀)

そこで、ハッカー達は、利用者が多いサイトの中からセキュリティの穴を探し、ID・パスワード・メールアドレスを盗み取ることです。
前回の記事の例で言う、「Zoom」「任天堂」がここに当てはまります。

「Zoom」や「任天堂」のサイトからパスワードを盗んだのは、これらのサイトでなにかをするのが目的ではありません。
「Zoom」で他人のIDを乗っ取ったところで、ハッカーに現金は入りません。

その人の「Zoom」友達

彼らにとって、ここで盗み取るID・パスワード・メールアドレスなどは、正直どうでも良いです。

金を盗み取るステップへ

ハッカーが取る次の行動は、盗み取ったログインID・パスワードを利用して、本命である金融系サイトやクレジットカード情報が登録されているサイトへのログインを試みるという点。

ここで、彼らは、我々のクレジットカード情報を盗んで不正利用したり、仮想通貨を盗んだり、現金を盗む。というステップに移行します。

パスワードリスト攻撃

上記まででご紹介したのが、とあるサイトでのパスワード流出から、実際に金銭的被害を生む流れです。

ハッカーは同一のID・パスワードを設定しているユーザーを狙って、盗み出したID・パスワードの組み合わせを用いて、様々なサイトへのアクセスを試行します。
この手法を「パスワードリスト攻撃」と言います。

どこかのWEBサイトでID・パスワードが流出すると、情報漏えいしていない全然関係ないサイトからクレジットカード情報や金融資産が盗まれる。

パスワードを使いまわしていると、このような甚大な被害を被ってしまいます。

「パスワードリスト攻撃」で金銭的被害が発生するのは、流出元とは別のサイトであるケースが大半です。

最初の流出元での金銭的被害がないというケースも多く、油断しがちな点も被害を大きくさせる要因の一つとなっています。

「パスワードリスト攻撃」を防ぐことが最重要

従来から、「パスワードは8桁以上で!」というのは良く言われていますが、8桁のパスワードだろうと、100桁のパスワードだろうと、同じパスワードを複数のサイトで利用している場合、「パスワードリスト攻撃」を前にすれば完全に無力です。

つまり、パスワード長さ・複雑性も重要ですが、それ以上に、パスワードを使い回さないというのが最重要項目となります。

どこかのサイトでパスワードが流出することは、いち利用者である我々に防ぐことはできません。
しかし、パスワードを使い回さないだけで、甚大な二次被害は防げます。

〇〇アカウントのパスワード使いまわしは最悪!禁忌!

中でも、Yahoo!メールやGmail等のメールアカウントで利用しているパスワードを他のサイトで使い回すことです。

Web上で会員登録を求められるサイトでは、99%メールアドレスの登録を伴います。

そして、パスワードを忘れた場合には、登録メールアドレスに送られてくるパスワードリセットメールから手続きを行えば、パスワード変更が出来てしまいます。

メールアカウント乗っ取りは絶対に避けるべき

つまり、メールアドレスのログインID・パスワードが流出するということは、登録しているすべてのサイトのパスワードがリセットされ、すべて乗っ取られる可能性があるということです。

メールアドレスを乗っ取られた後に、ハッカーがパスワード変更したら、完全にゲームオーバー。

メールアカウントが乗っ取られるということは、二段階認証を設定しているサイトを除き、ほぼすべてのサイトが乗っ取られるという状況になります。

パスワードの使いまわしがいかに危険か、少しでも参考になれば幸いです。

FBI・JPCERT/CCが推奨するパスワード管理術

アメリカの政府機関や日本のセキュリティ団体が推奨しているセキュアなパスワードの作成方法(桁数・文字種)や、使いまわしをせずに各サイト固有のパスワードを管理していく方法をご紹介していきます!

参考:【FBI推奨法】パスワード作成術・管理方法

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


Please enter the result of the calculation above.

前の記事

パスワード流出
2020年4月のパスワード漏洩・流出事例【Zoom / 任天堂…

次の記事

FBIが推奨するパスワード作成術(桁数・文字種)・管理方法
パスワード管理術