『リスト型アカウントハッキング攻撃』
~サンドラッグ、ECサイトにリスト型攻撃を公表~
株式会社サンドラッグは2022年7月11日同社が運営するオンラインサイトにて不正アクセスを受け、会員情報が閲覧された可能性があることを明らかにしました。19,057件の会員情報が閲覧された可能性があり、その手法は他社サービスから流出した可能性のあるユーザーID・パスワードを利用した「リスト型アカウントハッキング攻撃」であると推測されております。
~リスト型アカウントハッキング攻撃とは~
リスト型アカウントハッキング攻撃は、あるWebサービスから流出もしくは不正に入手したユーザーのアカウントリストをもとに他のWebサービスに対して不正なログインを試みます。そしてログインに成功するとそのユーザーになりすましたり、個人情報を窃取し悪用するといった攻撃を仕掛けてきます。
様々なWebサービスに登録することが珍しくなくなった近年、IDやパスワード管理の煩わしさを軽減するためID・パスワードを使いまわしているユーザーは少なくありません。リスト型アカウントハッキング攻撃はそういったユーザーをターゲットにしています。
~事業者としての防御対策~
・パスワードの使いまわしをしない
パスワードの使いまわしは様々な攻撃を受けたり個人情報の漏えいにつながる危険な行為です。パス
ワードに有効期限を設定し、一定期間を過ぎたら強制的にパスワードの変更を促すことも効果的で
す。
・休眠アカウントの廃止
登録をしたものの既に利用しなくなったユーザーのアカウントに不正ログインをされてしまうとユー
ザー側は当然気づきませんので対応が遅れてしまいます。1年以上ログインがない場合はアカウント
を廃止するなどのルールを決めることで被害の拡大を防ぐことができます。
・異なるIPアドレスからのログインには確認を行う
ユーザーがログインするIPアドレスとは違うIPアドレスからログインがあった場合その通知を行うこと
が効果的です。ユーザーが不正ログインに気づきパスワードを変更すれば被害は最小限に抑えること
ができます。
・ログインを二重認証に変更する
ユーザーが作成したパスワードの他に提供事業者側でワンタイムパスワードを発行しログインを二重
認証にすることで不正ログインを防ぐことができます。
~万が一に備えてサイバー保険を~
以上のような対策には導入の費用や時間もかかります。また、今後こうした対策をかいくぐるような攻撃がうまれることも十分に考えられます。万が一の際の費用の備えにサイバー保険のご加入を是非ご検討ください。
