JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。
今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。
2回目は、ディー・エヌ・エー システム本部セキュリティ部 部長 茂岩 祐樹氏による寄稿です。
【特集】STOP!パスワード使い回し!
ヤフー、楽天らネット企業10社が語る"リスク"と"対策"
パスワードリスト攻撃は新たな時代に入った?
DeNAセキュリティ部の茂岩です。DeNAでは次のように多種多様なサービス・事業等に取り組んでいますが、私たちの部署ではそれぞれに必要となる情報セキュリティ施策の検討やルール策定について、全社横断的に取り組んでいます。
リレー記事の、ということで、今回は「パスワードの使い回し」が望ましくない理由について、できるだけ分かりやすく紹介したいと思います。この記事を読み終えて、パスワードの使い回しは危険が伴うということを知っていただけると幸いです。
ここ1、2年の間に、日本においてパスワードの使い回しに起因する実被害は相当数にのぼります。それも、数百人、数千人というレベルではなく、数十万を超える人に被害が出ているのです。
この事実だけでも、「使い回しをやめる」、つまり、同じパスワードを色々なサイトで使わない理由になると思います。
しかし、少しだけ過去にさかのぼって考えてみてください。私自身も含め、多くの人が使い回しをしていた(している)と思いますが、「被害にあった」という話を周囲で聞いたことはありますか?
聞いたことがなかったとすれば、どうして今、このような面倒なこと「サービスごとに違うパスワードを設定する」ことを強いられるのか、腑に落ちない方も多いはずです。
なぜ変わってしまったのか。
それは一言で言うと「新たな時代に入った」と言えると思います。
リスト型攻撃とは
リスト型攻撃はパスワード使い回しに深く関係する攻撃です。
キャンペーンの1回目の記事にリスト型攻撃について分かりやすい説明がありますので是非一度、ご覧ください(STOP!パスワード使い回し!特集ページ)。リスト型というからには、元となるリストが存在するわけです。そのリストは、普通に考えると「多くて数十万件?」などと思われるかもしれませんが、世の中に存在するリストの総件数は、数億件や数十億件、いや、もっとあるかもしれません。
リスト型攻撃の目的は攻撃者によって様々だと考えられます。
IDとパスワードがあるWebサイトで(その組み合わせが)生きているかを確認するだけというものから、実際に登録したクレジットカードを利用して商品を購入されるという実害が出るものまで様々です。目的は様々と言いましたが、被害を受ける側の視点では「自分のアカウントが他人のコントロール下にある状態になってしまう」ことが問題点になります。
また、仮にAサイト、Bサイトで同じパスワードを設定している場合にはCサイト、Dサイト…etcでも同じもので設定している可能性が高いのではないでしょうか。リスト型攻撃が多くのサイトに対して試行されるのは、金銭的価値の高いサイトへのなりすましログインを精度高く行うための準備という可能性もあります(下図参照)。
リストの出所については後で考察しますが、膨大な件数の中に1件ぐらい自分のものが存在していてもおかしくありません。従って、これは「いつ」「誰の」身に起こってもおかしくない、とても身近な問題なのです。
リストが生まれてから、攻撃者の手に渡るまで
なぜこれだけ大量にIDとパスワードなどのリストが存在するのでしょうか?
それは、世の中で多発している情報漏洩事件が一つの原因となっています。昨年に世界中で発生した個人情報漏洩件数は10億件を超えたと言われており、このような漏洩情報に含まれているID・パスワードのリストが一つの出所として考えられます。
漏洩した情報は取得した攻撃者自身が利用する場合もあると思いますが、電子データはみなさんもご存知のように、コピー・転送が簡単であるため、これらのデータが売買されているケースもあるようです。
違法なブラックマーケットも存在し、こうした漏洩情報以外にも攻撃用ツールなども売買されています。こういうマーケットを通じて第2第3の攻撃者の手に漏洩した情報が渡っていく、というのが一つの考えられるシナリオです。
攻撃は想像より数段ハードルが低い
攻撃者、つまり「盗まれた情報を使ってなりすましログインする人」にとって、現在の状況はとても攻撃しやすくなっていると言えます。なりすましの元ネタは、自分でどこかに侵入して入手する必要はなく購入することができます。
数十万を超えるリストを手動で処理するのは現実的ではないですが、攻撃用のツールが存在しますのでこれも簡単にできます。攻撃には高度なセキュリティの知識やシステム開発力は不要なのです。
誰でもその気になれば、もちろん違法行為であるわけですが、簡単に攻撃できてしまうものなのです。
そしてインターネットは全世界につながっています。自国内への攻撃であればリスクが大きい場合でも、海を超えての攻撃をならば容易に捜査の手が及ぶことはないと考えるでしょう。
このことも攻撃者にとってはプラスに働きます。
Webサイト側の対策
リスト型攻撃の完全な防御は、技術的難易度が高いと言われています。なぜなら、攻撃者の手元に正しいIDとパスワードがあるからです。しかし、リストの精度が低い場合には多くの正しくないIDとパスワードも含まれるので、失敗ログインを攻撃のシグナルとして検知を試みることになります。
JPCERT/CCの報告によれば、過去事例においては不正ログインの成功率が高い場合でも10%程度とありますので約9割が失敗ログインとなります。この事実から一定の失敗数を超えた場合に検知やブロックを行います。
具体的な対策方法は、失敗の多いIPアドレスからのアクセスを受け付けなくします。そうすると攻撃側はアクセスできなくなるのですが、対抗策としてたくさんのIPアドレスを予め準備し、遮断されると別IPアドレスで再度攻撃、と攻撃側が対策をとるケースが出て来ています。
このようにIPアドレスでの遮断だけでは防御が難しくなると、別の対策、例えばCAPTCHA(キャプチャ:コンピュータによる機械的アクセスか人間のアクセスかを区別するために、人間のみが認識できるように加工した文字を表示・入力させる仕組み)を入れます。このように一つの方法では乗り越えられてしまう場合でも複数の対策を組み合わせることで安全性を向上させられます。
DeNAの過去事例
実はディー・エヌ・エーも、2013年10月に「Mobage」がリスト型攻撃を受けています。詳細については当時の記事をご覧いただきたいのですが、この攻撃の結果、残念ながら316件の不正ログインが確認されました。
以前から仕掛けていた不正アクセス対策によって比較的早い段階で攻撃に気がつきましたが、対策をかいくぐられた期間があったので、その時の状況を踏まえた新しい対策をすぐに追加しました。
日々攻撃手法は進化しているため、当社が直接的に受けた攻撃だけでなく、広く世の中で発生している事象に関する情報を収集し必要な対策を随時とり入れています。
安全性を高めるためには
上記のように私たちWebサイト側でも努力を行っていますが、攻撃者の手元に正しいパスワードがあればなりすましはできてしまいます。
何らかの方法で不正に入手されたパスワードを使って多数のWebサイトへ不正ログインをするという攻撃に対し、インターネットユーザーの皆様が連鎖的な被害にあわないためにできる有力な対策は「パスワードの使い回さない」ことです。
パスワードを使い回さないとは、ご自身が利用しているたくさんあるインターネットサービスのパスワードをサービス毎に違うものを設定することです。
とはいえ、そもそもなぜパスワードに同じものを使ってしまうかの最たる理由は、たくさんあるとパスワードを覚えられないというものであり、この部分を解決する必要がありますね。
パスワードを簡単かつ安全に運用する方法がIPAさんより提案されていますので参考にしてください。他にも様々な工夫・方法がインターネット上で提案されていますので、ご自分にあった方法を見つけて、利用されることをお勧めします。
おわりに
今回はできるだけ分かりやすくを目指して、パスワードの使い回しの危険性を実際の攻撃側の状況も織り交ぜてご紹介致しました。
キャンペーンのリレー記事はまだまだ続きます。今後具体的事例や技術的により詳しく取り上げる記事が出てくると思いますので、今後もこの企画にご注目いただければ幸いです。
著者プロフィール茂岩 祐樹(しげいわ ゆうき)
1995年日本IBMへ入社しストレージ製品のシステムエンジニアを経験した後、1999年DeNAへ入社。
ディー・エヌ・エー システム本部セキュリティ部 部長
DeNA立ち上げ時から2014年までインフラ構築・運用を統括。インフラの統括と並行して情報セキュリティ分野に取り組み、2011年にDeNA CERTを設立。
2014年にはセキュリティ部を設立し、現在はDeNAグループ全体の情報セキュリティを統括。