サービス提供側は防御が困難

これは、リストの精度が高くなってきている可能性がある、ということを意味する。この「精度」とは、つまり「複数のサービスで同じIDとパスワードを使い回している」ユーザーのリストが集まってきている、ということになる。このリスト型攻撃が効果的なのは、こうした使い回しユーザーがいるからで、複数のサービスに同じIDとパスワードを設定していると、ほかのサービスから漏れたリストで簡単にログインできてしまう。

リストの例。それぞれ同じユーザーだとして、「ユーザー4」がIDとパスワードを使い回している。このサービスAとBのセットを組み合わせたようなリストが攻撃に使われている

一般的に、リスト型攻撃を防御するのはサービス側にとっては困難な面が多いとされている。ただし、リスト型攻撃はIDとパスワードの使い回しをしなければ防げるため、ユーザー側がサービスごとにIDとパスワードを変更して使うのが最も有効だ。多少手間はかかるが、特に金銭が関係するようなサービスに関しては、IDとパスワードを適切に設定すべきだ。

とはいえ、スマートフォンユーザーにとっては、すべてのサービスのIDとパスワードを記憶して使う、というのはかなり難しい。PCに比べて入力が面倒だし、スマートフォンユーザーの間で、使い回しが増えているのではないかという懸念もある。アプリを活用するなどして、なるべく使い回しをしない工夫をすることで、Webサービスをより安全に使いこなせるので、是非ともIDとパスワードを適切に設定して、適切に管理して欲しい。

関連記事

【レポート】不正ログイン被害にあった人はどのくらい? マイナビニュース会員に聞いてみた(2014年6月20日)
mixi、26万超のアカウントが不正アクセス被害に(2014年6月17日)