パスワードリスト攻撃の成功率は11%。漏えい事例を読み解く

2019/11/25

1.jpg

2019年7月に運送業大手のヤマト運輸は、自社が運営する宅急便利用者向けオンラインサービス「クロネコメンバーズ」のアカウントのうち、約3万件に対してパスワードリスト攻撃があったと発表しました

以下では、この事件について、ならびオンラインサービス利用者が取りえる対策について考えてみたいと思います。

 

 

成功率11%:パスワードリスト攻撃の脅威

2.jpg

クロネコヤマトの発表によると、特定のIPアドレスからクロネコメンバーズへのログイン試行が約3万件行われ、そのうちの大半はクロネコメンバーズで実際に利用されていないパスワードが用いられていたことから、パスワードリスト攻撃と判断したとされています。

パスワードリスト攻撃により漏えいした情報は、クロネコメンバーズID、メールアドレス、利用の端末種別、氏名、住所、電話番号等で、個人を完全に特定できる情報が多数含まれていました。しかし、クレジットカード情報は下四桁しか漏えいしていなかったため、漏えいした情報を元に、攻撃者がすぐに金銭を得られた可能性は低いと考えられます。

ちなみにパスワードリスト攻撃とは、不正アクセスなどの手法で漏えいしたIDとパスワードの組み合わせを用いて、漏えい元とは関係ないオンラインサービスやSaaSサイトに対して、不正アクセスを試みる攻撃です。パスワードリスト攻撃自体は、古くから用いられている手法であるため、パスワードリスト攻撃があったこと自体は驚きではありません。

驚きだったのは、攻撃を受けた約3万件のアカウントのうち、攻撃が成功して情報が持ち去られたアカウントが3,467件もあったということです。割合でいうと、約11%が攻撃に成功しているという数字になります。わずか3万件の攻撃で、3,467件の不正アクセスに成功しているのは、かなり高い成功率と言えます。5年以上前に警視庁が発表した内容を元にした記事が日経ネットワークに掲載されていますが、パスワードリスト攻撃の成功率は5-6%とされていますので、その倍です。

5-6%から11%と幅はありますが、パスワードリストを利用した攻撃の成功率は極めて高いのが特徴です。なぜなら、パスワードの多くは使い回されているためです。

 

 

パスワード使い回し対策の限界

3.jpg

パスワードリスト攻撃を防ぐためには、パスワードの使い回しを防ぐのが最良の対策です。実際に、企業のITセキュリティポリシーなどで「不正アクセスを防ぐためにパスワードの使い回しを行わない」としている企業は多数あるかと思います。それでも、パスワードが使い回されているのは、「パスワードを使い回さないと、パスワードを複数覚えていられない」ためです。

業務で利用するシステムが10個あったとして、この10個に対して別々のパスワードを設定して記憶しておくのは至難の業です。強固なパスワードとするためには、辞書に載っている言葉や自分の名前、IDと同じ文字列などを含まないようなパスワードで、かつ最低文字数を上回るものを設定しなければなりません。覚えられる文字列は多くても、3つか4つ程度という方も多いのではないでしょうか。

これまで企業が行ってきたパスワード管理の流れは、「社内でシングルサインオンを実現する」というものでした。複数の社内システムにログインする場合、複数回パスワードを入れる手間を防ぐために、1つのパスワードで複数システムへのログイン(シングルサインオン)を可能としていました。Active Directoryなどのテクノロジーも、こうしたニーズに対応していました。

しかし、クラウド化の進展により、「業務で使用するサービスの大半が、SaaSベンダーなどにより社外のサーバーで管理されている」というケースも増えてきました。この場合は、社外のサーバーとなるため、Active Directoryの管理対象ではありません。よって、シングルサインオンも行えないという状況でした。

よって、社内に関してはActive Directoryでシングルサインオンし、社外のSaaSとなると「従業員が正しく管理せよ」と指示(事実上の放任)となっている企業も少なくありませんでした。

 

 

IDaaSでパスワードリスト攻撃を防ぐ

4.jpg

従業員のパスワード使い回しを防ぎ、パスワードリスト攻撃を防ぐためにはどうすればよいか。この対策として注目を集めているのが、IDaaS (クラウド型ID・パスワード管理サービス)です。

仕組みは極めてシンプルです。従業員がパスワードを作成・管理するかわりに、システム管理者が作成したパスワードを、従業員がIDaaSを通じて利用できるように登録しておく、というものです。

従業員は、IDaaSからログイン先を選ぶだけで、各システムのパスワードを知らなくてもログインできるため、パスワードを覚える必要がなくなり利便性が向上します。また、システム管理者からすると、各従業員がそれぞれのシステムで使うパスワードを、全く別々で複雑なものにすることができるため、パスワードリスト攻撃を完璧に防ぐことができます。

つまり、IDaaSによるパスワード管理は、従業員にとっても、システム管理者にとってもメリットがある対策となります。

 

 

クロネコメンバーズも対応する「トラスト・ログイン」でパスワードリスト攻撃対策を

5.jpg

企業の従業員が使うパスワードを集中管理できるIDaaSは、多くの会社から提供されていますが、外資系企業が多いため国内サービスへの対応が不十分なケースが多いです。日本企業である当社、GMOグローバルサインが提供するIDaaSである「トラスト・ログイン」は、日本で開発を行っている純国産サービスです。

日本のお客様が多く利用するサービスを順次登録・利用可能としていった結果、2019年10月現在、5400以上のサービス・アプリに対応済です。もちろん、「クロネコメンバーズ」も利用可能です。

6.png

トラスト・ログインで利用できるサービス・アプリは、当社サイトで全て検索可能ですので、ぜひお調べ頂き、必要なものが含まれているかお確かめいただき、ご評価いただければ幸いです。パスワードリスト攻撃を防ぐために、ぜひお役立てください。