最近、セキュリティ業界で問題となっている「リスト型攻撃」はご存じだろうか。直近でもmixiやニコニコ動画がこの攻撃の被害に遭っており、特に昨年からさまざまなサービスが狙われている。「セキュリティ」というと、パソコンのウイルスばかりイメージして、スマートフォンでは無関係と思っている人もいるかもしれない。しかし、この「リスト型攻撃」は、特にスマートフォンユーザーにとって人ごとではない問題なのだ。
リストとは何か
インターネット上のサービスを利用する場合、一般的にはIDとパスワードでユーザー登録を行い、そのIDとパスワードを使って利用者本人であることを認証してログインをする。アマゾンで買い物したり、Twitterで投稿したり、Gmailでメールチャックをしたり、といった場合にも、IDとパスワードでログインしている。
IDは自分で自由なものを設定したり、メールアドレスだったり、電話番号だったり色々あるが、その個人に1つだけのもので、それとパスワードを組み合わせることで「ログインしようとしている人」が本人だと特定している。
IDとパスワードで本人確認を行っているのだから、これが他人に知られると、自分の振りをして勝手に買い物をされたり、Twitterに投稿されたり、オンラインバンキングの銀行口座から現金が引き出される、といった被害も起こりうる。
普通、自らIDとパスワードを他人に知らせることはしないだろうが、実はさまざまなルートでIDとパスワードが漏れていることがある。パソコンを盗まれてそこから抜き出された、偽のサイトにだまされて入力してしまった、などといったルートもあるが、一番危険なのが、IDとパスワードを使うWebサービスからの流出だ。会員制のWebサービスを運営するためには、IDとパスワードをデータベースに登録して、ユーザーが入力した文字列と照合して認証する必要がある。そのデータベースに不正アクセスされてIDとパスワードが大量に盗まれる事件が実際に起きている。
この盗まれたIDとパスワードがセットになったデータが、いわゆる「リスト」だ。例えば「aaa」というIDと「bbb」というパスワードがセットになっているので、このセットが漏れると、そのWebサービスには「aaa」というIDと「bbb」というパスワードで簡単に他人がログインできてしまう。
Webサービス側も不正アクセスに気付くと、ユーザーに対してパスワードの変更を促したり、パスワードを強制的に変更したりといった対策を取るので、流出したIDとパスワードのセットで不正ログインはできなくなる。