プリペイド形式の電子マネー機能を持つポイントカード「おさいふPonta」のサイトがパスワードリスト攻撃を受けました。これにより一部のアカウントに不正なログインが発生し、チャージ残高の不正な移行が行われたということです。

【参考】「おさいふPonta」にパスワードリスト攻撃、1時間に約３０万件 – 一部で残高の不正移行

http://www.security-next.com/099567

おさいふPontaの公式サイトによると、2018年10月30日午後5時より、おさいふPontaサイトでのチャージ残高・ポイント移行サービスを停止しており、2018年11月7日現在でも再開は行われていません。サイトのセキュリティ強化を完了ができ次第、再開するとのことです。

パスワードリスト攻撃とは

パスワードリスト攻撃とは、どこかのサーバーやサービスで不正に入手したIDとパスワードのリストを使用して、他のサーバーやサービスへ不正アクセスを試みる攻撃のことです。不正アクセスといっても、漏洩した「使える」IDとパスワードを利用してログインするので、脆弱性を利用するわけではありません。つまり正規のユーザーによるログインとは見分けが付けにくいという特徴を持ちます。

このようなパスワードリスト攻撃の被害は頻発しています。ここで2018年に発生した事例をいくつか紹介します。

【参考】「mineo」も不正ログイン被害、6458件　リスト型攻撃で

http://www.itmedia.co.jp/news/articles/1808/16/news105.html

【参考】「iPhone X」不正購入被害1000件　「ドコモオンラインショップ」に不正ログイン、リスト型攻撃で

http://www.itmedia.co.jp/news/articles/1808/13/news084.html

【参考】ローソンID会員様へのアカウントメールアドレス・パスワード再設定のお願い

https://www.lawson.co.jp/info/20180910_mai.html

さきほども紹介したように、パスワードリスト攻撃は脆弱性を利用したものではありません。そのため実際に不正アクセスが発生しても、サービスの提供側ができることと言えば、不正アクセスに使われたIPアドレスの遮断と、利用者に対してパスワードの変更を求めるように呼び掛ける程度のことしかできないのです。このように抜本的な対策が取れないといことも、パスワードリスト攻撃がなくならない原因にもなっていると思われます。

パスワードリスト攻撃の対策方法

パスワードリスト攻撃が成功する原因は、いくつものサイトで同じIDとパスワードを使いまわしていることです。使っているサーバーやサービスごとにIDとパスワードとしてすべて異なる文字列を使うといった対策が有効です。しかしこれがなかなか難しいのです。

現在ではSNSだけでもTwitter、faebook、instagram、LINEなどがあります。これだけでもう4つですよね。他にも仕事で使っているサービスなどを入れたら、日常的にIDとパスワードが必要となるWebサイトは10以上になるのではないでしょうか。このようなサービスで全て異なるパスワードを設定して使い分けるのは、利便性の観点で疑問があります。

それぞれのサービスで全く異なるパスワードを設定するのが難しかったら、ベースとなる文字列を用意して、サービスに応じて一部だけ変化させた文字列をパスワードとして利用する方法もあります。

例えばパスワードのベースの文字列を「qwert」というものに設定して、Twitterのパスワードだったら、「t_qwert」にする。Facebookなら「f_qwert」にするなど、パスワードにサービスの頭文字を付けるといった方法です。（あくまで参考です）

おそらく攻撃者は他のサイトで入手したIDとパスワードのリストを使って機械的に不正ログインを試みてるので、このようにパスワードが一部でも違っていれば、パスワードリスト攻撃を防ぐ有効な手段になると思われます。

また、少し古い資料になりますが、IPAがパスワードリスト攻撃防止に向けた呼びかけをしています。

【参考】パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ

https://www.jpcert.or.jp/pr/2014/pr140004.html

パスワードリスト攻撃への対策として一般的な内容を述べた記事ですが、公式からの呼びかけでもあるので、一度目を通しておくとよいでしょう。