セキュリティ事件簿

パスワード使い回しはなぜNG?パスワードリスト型攻撃とは?

複数のサイトでパスワードの使い回しをしてはいけないって、よく聞きますよね?

良くないとは知っていても、ついつい面倒で使い回しちゃう〜

ところで、なぜ使い回しがいけないことなのか知っていますか?
実は、リスト型攻撃という、有名なサイバー攻撃の手法があるからです。

リスト型攻撃の原因は、私たち利用者が安易なパスワードをつけてしまうことにあります
なので、どんなにセキュリティ対策がしっかりしている有名なWEBサービスでも
国や学校がやっていて絶対使わなければならないサイトでも
安易なパスワードをつけている限り、被害にあってしまう可能性があります。

そうは言っても、あんまり実感ないなあ

この記事では、リスト型攻撃とはどのようなものか?
自分が被害にあう可能性はあるのか?を解説していきます。

この記事を読むとこうなります
  • リスト型攻撃の手法が理解できる
  • 原因が理解でき、自分の大切な情報を守るために必要なことがわかる

リスト型攻撃って何?

「リスト型攻撃」とはどこかのサイトで漏えいした
メールアドレスとパスワードのペア(この記事ではひとまとめでアカウントと呼びます)を
何らかの方法で入手して、別のサイトに不正アクセスを試みる攻撃のことです。

「パスワードリスト攻撃」や「アカウントリスト攻撃」とも呼びますが同じものです。
(長いのでこの記事ではリスト型攻撃で統一します)

アカウントの一覧(リスト)を使うので、リスト型攻撃って呼ばれるよ

漏えいしたアカウント情報を使う「リスト型攻撃」に対して、IDが既に公開されている状況などで(たとえばTwitterやInstagramはユーザーのID名が公開されていますよね)一般的によく使われそうなパスワードを類推して不正アクセスを試す「辞書攻撃」っていうのもあります。


名前や攻撃の方法は違いますが、防御のために必要なことは同じなので明確に区別する必要はないと個人的には思います。

どこかのサイトってどこ?何らかの方法って何?

このような不正アクセスによって漏えいした情報は
ハッカーフォーラム(ハッカーたちが情報共有をするサイト)で売買されたり
場合によっては普通にSNSなどからダウンロードできたりします。
この情報が悪用され、さらに別のサービスへ被害が拡大します
横展開される、という感じでしょうか。

そんな〜私は普通の一般市民だし。情報漏えいなんかに関係ないわよ〜
それはどうかな〜〜?確認する方法があるよ!

あなたのメールアドレスやパスワードは既に漏えいリストに載っている…かも?

自分のアカウントが漏えいしているかどうかを
確認することができる「Have I been Pwned?」というサービスがあります。

このサービスには、113億件以上の漏えいアカウント情報が蓄積されていて
検索するとその漏えいデータベースに一致した情報を表示してくれます

また、自分が使っているパスワードが安全かどうか?も調べることができます。

要するに自分のアカウントが漏れているどうかがわかるってことだね

英語で少しとっつきにくいですが
以下の記事に使い方をまとめておきましたので、良かったらご自身の
メールアドレスとパスワードを確認してみてくださいね。

地球の人口は約78億人ですが(2021年現在)
漏えいアカウント情報は記事執筆時点で113億件以上という膨大な数になっています。
しかし、まだまだ頻繁に更新されて、数が増えています。

なので、今リストに載っている・いないに関わらず
パスワードを使い回していたら誰でもいつか被害にあう可能性はあると言えます。

地球の人口より漏えいしたアカウントの数の方が多いんだね〜

それでもパスワードを使い回す理由は「異なるパスワードを設定すると忘れてしまう」から

パスワードを使い回す理由は

異なるパスワードを設定すると忘れてしまう(71.4%)

パスワードの利用実態調査 2020


というのが大きいようです。

わかるな〜良くないってわかってはいるけどついつい…

使い回さないのに忘れない、欲張りパスワードの考え方

パスワードの使い回しについては、なかなか難しい問題ですが
覚えやすくて、長くて、複雑で、使い回さなくていい
誰でもできるパスワードの考え方を以下の記事で紹介しています。

このように自分で考えるという基本的な方法の他に
パスワードマネージャーなどのツールを使うなどもよいやり方だと思います。

リスト型攻撃による被害を防ぐポイントは、とにかくパスワードを使い回さないこと
既に使い回しているときには、少しずつでも変更していくことです。

ところでメールアドレスは使い続けていていいの?

アカウントが漏えいしていることがわかってパスワードは変えたんだけど…メールアドレスは変えなくていいのかな?

今の時代は、無料でメールアドレスを取得することも簡単ですし
どうしても気持ち悪いから変えたい!ということであれば
メールアドレスを変更するのも良いでしょう。

しかし、そもそもメールアドレスが公開することが前提の情報ですよね?
(公開しないと相手がメールを送れないです)
なので、メールアドレスについては漏えいしたからといって、あまり神経質にならずに
パスワードを使い回さない、ということを気をつけたほうが効率が良いとは思います。

2要素認証(2段階認証/MFA)などの追加のセキュリティ機能があるWEBサービスだったら、積極的に使っていくのも良いよ!

まとめ

  • リスト型攻撃とは、どこかのサイトで漏えいしたアカウント情報を使って別のサイトへ不正アクセスを試みる攻撃のこと
  • リスト型攻撃の被害にあう原因は「利用者がパスワードを使い回していること」
  • パスワードを使い回していたら誰でも被害にあう可能性がある
  • 自分には関係ないと思っている方はぜひHave I been Pwnedで調べてみよう
  • 2要素認証(2段階認証/MFA)などの機能があったら積極的に使っていこう

少しでもお役に立てれば嬉しいです。では今回はこのへんで。

こちらの記事もおすすめ