おすすめ情報

サポートトップ » おすすめ情報 » 身近な危険。パスワード使い回しによる不正ログイン

身近な危険。パスワード使い回しによる不正ログイン

複数のインターネットサービスで同じパスワードを使い回していることが原因で生じてしまうユーザアカウントへの不正なログイン、いわゆるパスワードリスト攻撃による被害が以下の通り(図1)継続的に発生しています。

公表情報を元にJPCERT/CCが集計した被害企業の推移

図1:公表情報を元にJPCERT/CCが集計した被害企業の推移

パスワードリスト攻撃の手法

パスワードリスト攻撃とは、攻撃者が何らかの方法で事前に入手したIDとパスワードのリストを使用し、 自動的に入力するプログラムなどを用いて、 ログイン機能を持つインターネットサービスにログインを試みる攻撃手法です。
もし利用者がIDとパスワードを使い回していると、第三者によるなりすましログインをされ、たとえどんなに難しいパスワードを設定しても、その被害者になる可能性があります。

パスワードリスト攻撃の概要

図2:パスワードリスト攻撃の概要

インターネットサービスの安全な利用は、利用者が適切にパスワードを管理することを前提に成り立っており、 利用者はパスワードを使い回さず、適切に管理する責任があります。

パスワードリスト攻撃による被害例

以下はパスワードリスト攻撃を受けたことを2013年4月以降に発表した企業のうち、「試行件数」と「成立件数」の両方が公表された主なものです。

被害企業 不正ログインの試行件数(A) 不正ログインの成立件数(B) 不正ログイン成立率※(B/A)
A社 約4,600,000 78,361 約1.70%
B社 2,293,543 38,280 1.67%
C社 2,203,590 219,926 9.98%
D社 約4,300,000 263,596 約6.13%
E社 約1,600,000 2,398 約0.15%
F社 3,420,000 15,092 0.44%
G社 1,796,629 14,399 0.80%

※「不正ログイン成立率」は、企業が公表した数値(AおよびB)を基に、JPCERT/CCが算出したものです。
※引用元 JPCERT/CC 「パスワードリスト型攻撃による不正ログインに関する呼びかけ

パスワード不正利用例

サーバーをご利用の方には、パスワード使い回しによる以下の危険性が想定されます。

FTP・CMSに接続される恐れ

Webサイトを管理・作成・運営されてる方はFTP用のID・パスワード等の情報を悪意ある第三者に知られてしまうとサイトが改ざんされる恐れがあります。

サーバー管理画面に接続される恐れ

サーバー管理画面に不正にアクセスされるとメールののぞき見、FTPアカウント改ざんによってアクセスできなくなる、などの恐れがあります。

セキュリティ対策〜適切なパスワードを設定する

仮想サーバーやメール、FTPなどの様々なケースで利用するパスワードは、分かりやすく安易なフレーズに設定しがちです。
英単語や人名などを利用したパスワードの場合、「辞書攻撃(Dictionary attack)」と呼ばれる攻撃を受けることでパスワードが知られてしまい、情報漏えいや改ざんの危険性が非常に高まります。

適切なパスワードの目安として、次の項目を参考にしてください。

  • 8文字以上のフレーズにする
  • 自分では覚えやすく、他人が推測するのは難しいフレーズにする
  • 数字、アルファベット、記号を含める
  • 連続した数字や同じ文字の繰り返しをしない
  • 誕生日や企業名など、他人が知りうる推測されやすいものは利用しない
  • 定期的に変更する

その他 セキュリティ対策のお願い(GMOクラウド 専用サーバー)