総務省は12月18日、インターネットサービスの提供事業者に向けて、リスト型アカウントハッキングによる不正ログインへの対応策についてまとめた資料を公開した。

現在、国内大手ポータルサイトや会員制Webサイトに対する不正アクセス事案が多発しており、このうちの多くは、ID・パスワードを不正に入手した第三者が、このID・パスワードをリストとして用いてさまざまなWebサイトにログインを試みる「リスト型アカウントハッキング攻撃(リスト型攻撃)」によるものと見られている。

リスト型攻撃の被害を防ぐためには、利用者自身によるID・パスワードの管理に加え、サービスを提供する事業者にも対応が求められる。このほど公開された資料は、特にユーザーがID・パスワードを設定する形態のサービスを提供する事業者において、実施することが好ましい対応策をまとめた内容になっている。

発表によると、企業のニュースリリースなどの公表資料から最近のリスト型攻撃を分析したところ、「ある程度の期間にわたって攻撃が行われているものがあり、攻撃が検知されるまでに時間を要するものがある」「数万単位での不正ログインが検出されている」「利用者からの通報、大量のアクセスエラーの発生、特定IPアドレスからの不正なログインの検知、社内調査によって攻撃が検知されている」などの特徴が見られたという。

総務省はリスト型攻撃を予防するための方策として、「ID・パスワードの使い回しなどに関する注意喚起の実施」「パスワードの有効期間設定」「パスワードの履歴の保存」「二要素認証の導入」「ID・パスワードの適切な保管」「休眠アカウントの廃止」「推測が容易なパスワードの利用拒否」を挙げている。

また、同資料では、リスト型攻撃による被害の拡大を防ぐための対策についても解説されている。

資料は総務省のWebサイト(PDF)から閲覧できる。