JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。
今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。
3回目は、サイバーエージェント 技術本部 セキュリティグループ マネージャー 兼 アメーバ統括本部 技術内閣 安全保障室 室長 兼 ITセキュリティ戦略室(CyberAgent CSIRT) 副室長の野渡 志浩氏による寄稿です。
【特集】STOP!パスワード使い回し!
ヤフー、楽天らネット企業10社が語る"リスク"と"対策"
企業とユーザー、双方の対策が重要
2004年にブログサービスとして立ち上げた「Ameba」は、ブログのほかアメーバピグやコミュニティサービス、ゲームなど展開を広げて、最近では様々なスマートフォン向けサービスを提供しています。
これらのサービスは、「Ameba」のIDとパスワードを用いてユーザを認証しサービスを提供しています。弊社にとって「Ameba」のIDとパスワードは利用者の皆さまからお預かりした情報を安全に管理するための手段であり、厳重に管理をすべき情報のひとつです。
2013年以降、多くのインターネットサービスでパスワードリスト攻撃による不正ログインが発生しており、弊社においても利用者の皆さまにご心配とご迷惑をおかいたしました。
これを受け、弊社では再発防止のための監視などセキュリティ体制の強化を行うと共に、利用者さまにも、ご自身で実践できる予防対策をご案内させていただいております。
そこで、今回は、ついついしてしまうことの多い「パスワードの使い回し」にはどのような危険があるのか、セキュリティ対策の現場で実際に実施されている不正ログイン監視の方法を交えて解説をしたいと思います。
不正ログインの手法
他人のログインIDとパスワードを用いた不正ログインの手法としては以下に挙げるものがよく知られています。
- 公開情報からの推測
ユーザ名やメールアドレス、誕生日など公開されている情報からパスワードを推測する手法
- 辞書攻撃
辞書に載っているような単語をパスワードに設定してログインを試みる手法
- ブルートフォース攻撃
パスワードの文字列を総当りで入力してログインを試みる手法
- リバースブルートフォース
パスワードを固定した上でログインIDを変化させ主に簡単なパスワードを設定しているユーザを探る手法
- パスワードリスト攻撃
既に判明しているログインIDとパスワードのセットを順に入力してログインを試みる手法
不正ログインの監視方法と不正ログイン手法ごとの傾向
不正ログインの監視は主に以下の情報をもとにおこないます。
項目 | 説明 |
---|---|
ログイン日時 | ログイン試行の日時 |
ログインID | 試されたログインID |
パスワード | 試されたパスワードの調査用ハッシュ値 |
試行元IPアドレス | 送信元のグローバルIPアドレス |
各種属性 | ユーザーエージェントやIPアドレスに紐づく情報(whoisで検索可能な情報やAS番号、国コードなど) |
認証結果 | 成功と失敗を記録していますが、失敗の場合はその理由も記録に残して解析に利用します。 主な失敗例は 「パスワード間違え」 「退会済みのログインIDによる認証要求」 「存在しないログインIDによる認証要求」 「バリデーションエラー」 |
これらの情報を記録し集計することで、一定期間内の回数や頻度に応じて不正ログインの可能性を判定します。また、不正ログインの手法毎に以下のような傾向を読み取ることでどのような手法で攻撃されているか判定し対策に活かします。
- 公開情報からの推測
同一ログインIDに対して複数回の認証失敗が記録されます。
- 辞書攻撃
同一ログインIDに対して大量の認証失敗が記録されます。異なるログインIDでも同じ傾向がみられた場合、試行されたパスワードのハッシュ値を比較することで辞書攻撃の発生を確認することができます。
- ブルートフォース攻撃
同一ログインIDに対して大量の認証失敗が記録されます。試行されるパスワードのハッシュ値は常に異なるため、同一ログインIDに対するブルートフォース攻撃であることを確認することができます。
- リバースブルートフォース攻撃
複数のログインIDで一回ずつ認証失敗が記録されます。認証失敗回数に頼った検知はできませんが、試行されたパスワードのハッシュ値の出現傾向に着目することで不正ログインの試行を確認することができます。また、存在しないログインIDによる認証失敗が増加する傾向があります。
- パスワードリスト攻撃
ログイン試行の度にログインID及びパスワードが異なります。リクエスト自体に送信元や各種属性が一定であれば攻撃を検知することができますが、それらの属性が変化した場合正常なログインとの区別がつきにくい傾向があります。
特に、パスワードリスト攻撃が複数の異なるIPアドレスから実行された場合には、攻撃の発生を検知するのが困難です。
ただし、一定期間内に通常より多い認証失敗(存在しないログインIDやパスワード間違え)、あるいは認証成功が混ざって検出される傾向があります。
不正ログイン検知事例
- 推測によるログイン試行
以下の表は約18分間の間に単一のIPアドレスから実行されたログイン試行の集計です。有効なログインIDに対して1~4回のログイン試行を行い推測可能なパスワードを使用しているユーザを探している形跡がみてとれます。
ログインID | パスワード間違い | 退会済みログインID | 存在しないログインID | バリデーションエラー |
---|---|---|---|---|
dummy01 | 1 | 0 | 0 | 0 |
dummy02 | 1 | 0 | 0 | 0 |
dummy03 | 1 | 0 | 0 | 0 |
dummy04 | 2 | 0 | 0 | 0 |
dummy05 | 2 | 0 | 0 | 0 |
dummy06 | 1 | 0 | 0 | 0 |
dummy07 | 1 | 0 | 0 | 0 |
dummy08 | 1 | 0 | 0 | 0 |
dummy09 | 2 | 0 | 0 | 0 |
dummy10 | 4 | 0 | 0 | 0 |
dummy11 | 1 | 0 | 0 | 0 |
dummy12 | 1 | 0 | 0 | 0 |
dummy13 | 2 | 0 | 0 | 0 |
dummy14 | 1 | 0 | 0 | 0 |
dummy15 | 2 | 0 | 0 | 0 |
dummy16 | 2 | 0 | 0 | 0 |
dummy17 | 1 | 0 | 0 | 0 |
dummy18 | 2 | 0 | 0 | 0 |
dummy19 | 1 | 0 | 0 | 0 |
dummy20 | 1 | 0 | 0 | 0 |
dummy21 | 1 | 0 | 0 | 0 |
dummy22 | 3 | 0 | 0 | 0 |
dummy23 | 2 | 0 | 0 | 0 |
dummy24 | 3 | 0 | 0 | 0 |
※ログインIDはダミーの文字列に置き換えています |
- 単一のログインIDに対するブルートフォース攻撃
以下の図を見ると、特定のログインIDに対して大量の認証リクエストを送信してパスワード間違えによる認証失敗を繰り返していることがわかります。
このように単純なブルートフォーム攻撃は比較的簡単に検知や予防を行うことができます。
- パスワードリスト攻撃
このグラフは単一のIPアドレスから26万412個ものログインIDに対して送信された認証失敗ログのグラフです。
存在しないログインIDが大半を占めていることからパスワードリスト攻撃であると判断することができます。
IPアドレスが単一である場合は検知も容易ですが、ログイン試行毎にIPアドレスが変化する場合は検知の難易度も高まります。
パスワードリスト攻撃の特性と予防方法
パスワードリスト攻撃は、他の不正ログイン方法と比較して、検知がしづらく仮に検知をしても、サービス運営側では予防しづらい攻撃手法です。
不正ログイン被害を受けている時は、既に他者にログインIDとパスワードのセットが知られているという状態ですので、仮にログインIDとパスワードが漏れた場合でもログインできないようにしたり、被害を最小限にと止めるようにしたりするための対策が必要です。
具体的な対策は?
- サービスごとに異なるパスワードを利用する
サービスごとに異なるパスワードを使用することで、万が一ログインIDとパスワードが漏れていた場合でも被害を最小限に留めることができます。
管理するパスワードが増えるので自分なりのパスワード作成ルールを用意したり、管理を強化した状態でメモや電子ファイルに保存したり、パスワード管理ツールを使用するなどパスワードを忘れないようにする予防策を検討してください。
- パスワード以外の認証要素を追加する
2段階認証と呼ばれる認証方法が利用可能な場合は、この機能を利用することでログインIDとパスワードの漏えいによる被害を予防することができます。
これらのパスワードリスト攻撃に対する予防方法については、JPCERT/CCにも解説が掲載されています。
インターネットサービスの運営会社では、各社が不正ログイン監視方法の精度上げや体制の強化などを行っていますが、パスワードリスト攻撃などによる被害を未然に防ぐには、インターネットサービス利用者のみなさまのご協力が不可欠です。
サービスを安心安全にご利用いただくためにも、本記事が、情報セキュリティにおける危険性とそれに対する適切な対策を、多くの方に知っていただく機会になれば幸いです。
著者プロフィール野渡 志浩(のわたり ゆきひろ)
セキュリティベンダーにおける脆弱性検査サービスやISMS認証取得支援サービスの立ち上げや、SIerにおけるセキュリティプロダクトの販売・セキュリティコンサルティングサービスなどの業務を行う。
サイバーエージェント 技術本部 セキュリティグループ マネージャー
アメーバ統括本部 技術内閣 安全保障室 室長
ITセキュリティ戦略室(CyberAgent CSIRT) 副室長
その後サービス事業者のセキュリティ専門部門に転職し、自社サービス及び開発環境のセキュリティ向上に関わる業務に従事。
現在はCyberAgent CSIRTの立ち上げに関わり、社内におけるセキュリティインシデントのハンドリングを担当。