リスト型攻撃

読み方 : りすとがたこうげき

リスト型攻撃とは

不正に入手したIDとパスワードを使って、企業のウェブサイトにログインを繰り返す攻撃手法。大手企業が相次いで被害を受け、早急な対応が求められている。

企業の情報漏洩が後を絶たない。攻撃者はあの手この手で企業のウェブサイトに侵入し、顧客情報などを抜き出そうとしている。企業の対応が後手に回っている印象は拭えない。

そんななかで最近、急増している攻撃方法がリスト型攻撃だ。リスト型攻撃とは、不正にIDやパスワードといった顧客情報を入手し、ウェブサイトにログインしようとするやり方を指す。

例えば、あるウェブサイトから顧客情報を抜き取り、その情報を使って別のサイトのログインを試行する。コンピュータプログラム(ボット)を使って手当たり次第にログインを試すため、もしIDとパスワードを使い回している人がいれば、サイトへの侵入を許してしまう。

セキュリティー対策サービスを手掛ける専門家は「リスト型攻撃は成功率が10%を超えるケースがある」と指摘する。“最大”の防御策は、利用者がIDとパスワードの使い回しをやめること。しかし現実には、多くの人が使い勝手や記憶しやすさを優先して、複数のサイトで同じIDとパスワードを使っている。

特に消費者向けのビジネスを展開する企業を中心に、ネットサービスは欠かせなくなっている。リスト型攻撃はあらゆる企業にとって対岸の火事ではなく、早急に手を打つ必要がある。

リスト型攻撃を防ぐため、多段階認証を導入する企業が徐々に増えている。最近では、文字入力とは別の方法で、不正ログインを防ぐ手法も生まれている。

対策:ブラックリストを共有

ベンチャーの米Capyは、攻撃者の情報をリアルタイムで共有し、不正ログインの疑いがあるIPアドレスを特定するサービスを提供。Capy日本支社の島津敦好氏は「“現時点”の攻撃者のブラックリストを作成できる。攻撃の回数が増えれば増えるほど精度が高まる」と話す。

2014年12月には、イラストやアイコンを使った簡単なゲームによってログインを許可する「アバターキャプチャ」と呼ばれるサービスの提供を始めた。一部が欠けたパズルを使う「パズルキャプチャ」は、国内で大手通信事業者やゲーム大手など10社程度が導入している。

出典:ITpro「今日のキーワード」(C)日経BP社

[2015年11月10日 公開]