パスワード流出はなぜ防げない?
情報流出の原因と対策を解説
【目次】
160億件のパスワード流出 あなたの会社も狙われています
ここ数年、インターネットサービスやSNSなどからユーザIDとパスワードが流出する事件が相次いでいます。サイバー攻撃や内部不正など流出の背景はさまざまですが、盗まれた情報はデータベースとして集積され、闇市場で悪用されているのが実態です。
海外のセキュリティメディア「Cybernews」によると、インターネット上などで確認されたID・パスワードの漏えい数は、160億件にのぼります。この膨大なリストには、GoogleやAmazon、マイクロソフトといった私たちが日常で利用する大手サービスのアカウントも多数含まれています。
ここで認識したいのは、どれだけ複雑なパスワードを設定していても、流出してしまうとリスクが一気に高まるという現実です。
特定のサイトからパスワード流出が起きれば、そのサービスを利用する全ユーザがなりすましログインの危険にさらされる可能性があります。被害が広範囲に及ぶ大手サービスでは、全ユーザのパスワードを強制的にリセットするなどの措置を取られることもありますが、それはあくまで「発覚後の対応」に過ぎません。
本当に恐ろしいのは、流出してからそれが発覚するまでのタイムラグです。実際にパスワードが流出してから、事業者がそれに気づくまでの間は無防備な状態となります。さらに、たった一つのサービスからのパスワード流出が、全く関係のない企業のシステムにまで被害を連鎖させる実態があります。
なぜ一つのサービスからのパスワード流出が、別のシステムや企業にまで被害を広げてしまうのでしょうか。その理由を次で解説します。
パスワード流出を拡大させる「使い回し」と「リスト型攻撃」
あるサイトで発生したパスワード流出が、なぜ全く関係のない企業やシステムにまで影響するのでしょうか。
最大の原因は、ユーザによる「ID・パスワードの使い回し」です。
多くのサービスやSNSではメールアドレスがユーザIDとして利用されています。つまり、一人のユーザが複数のサービスで同じIDを使用していることになります。また、IDがメールアドレスでなくても、名前やニックネームなどを複数サイトで共通して使っているユーザも少なくありません。
さらに問題なのがパスワードの使い回しです。多くのユーザが、複数のサイトで同じパスワードを利用しています。理由は単純で、サイトごとに異なるパスワードを覚えるのが難しいからです。最近ではパスワードポリシーが厳格化され、複雑なパスワードを求められることも、使い回しを招く一因となっています。
その結果、あるサイトから流出したIDとパスワードが、他のサイトでも有効である可能性が高くなります。言い換えれば、一つのサイトから流出した情報が、複数のサービスを開く「共通の鍵」になってしまうのです。
サイバー攻撃者は、闇市場などで入手した膨大な「流出リスト」を使い、さまざまなサイトへ不正ログインを試みます。これが「リスト型攻撃」です。
この攻撃が厄介なのは、従来の防御策が通用しにくい点です。
「パスワード推測攻撃(※1)」や「辞書攻撃(※2)」のように、特定のアカウントへ何度もログインを試みる攻撃とは異なります。リスト型攻撃では流出した正しいIDとパスワードを使い、一度だけログインを試行します。そのため、「一定回数の失敗でアカウントロックする」といった一般的な防御機能が作動しないのです。
自社のセキュリティをどれだけ強固にしても、他社のサービスから流出したIDとパスワードが悪用されるため、事業者側でできる対策にはどうしても限界があります。そのため、多くの場合は利用者への注意喚起が中心となり、サイバー攻撃者がログインする段階で食い止める水際対策が極めて困難です。
こうした背景から、多くのサービス事業者や公的機関が「パスワードの使い回し」に警鐘を鳴らしています。パスワードの使い回しは、1つの情報漏えいをきっかけに、複数のサービスへ被害が連鎖するリスクを生むためです。
※1:
コンピュータの利用者が本人確認に用いるパスワードを探り当てる攻撃手法の一つで、既知の利用者についての情報などを元にパスワードを類推して行われる攻撃のこと。
※2:
辞書にある単語、人名、パスワードによく使われる文字列をまとめたリスト(辞書)を用いて、自動的にログインを試みる攻撃手法のこと。
なぜパスワード流出は起きるのか
では、そもそもこうしたIDやパスワード流出は、なぜ繰り返し発生するのでしょうか。
その理由は単純です。盗み取られた個人情報が、サイバー犯罪の世界で「お金になるデータ」だからです。攻撃者にとって、IDとパスワードのリストは非常に価値の高い情報です。闇市場では大量のアカウント情報が売買されており、不正ログインや詐欺、アカウント乗っ取りなどさまざまな犯罪に利用されます。
そのため攻撃者は、IDやパスワードを手に入れるために多様な手口を使って攻撃を仕掛けます。代表的な手口が、Webサイトの脆弱性を突くサイト攻撃と、利用者を直接狙うユーザ攻撃です。
1. サイト側の脆弱性を突く攻撃
Webサイトから大量のアカウント情報が流出する原因として、代表的な攻撃手法の一つが「SQLインジェクション」です。これはWebサイトの入力フォームなどの脆弱性を利用し、データベースを不正に操作して会員情報を丸ごと引き抜く手法です。
現在、多くのWebサービスでは、会員情報や個人情報、ID・パスワードなどがデータベースに保存されています。もしアプリケーションに脆弱性があると、攻撃者がデータベースに不正アクセスし、こうした情報を大量に抜き取る可能性があります。
こうしたリスクに備えて、多くのサイトではパスワードをそのまま保存するのではなく、「ハッシュ化」と呼ばれる暗号処理を施して保存しています。これは、元のパスワードを直接保存せず一定の計算処理を行った値に変換して保存する仕組みです。
しかし、中にはパスワードを平文でデータベースに保存しているサイトも存在します。その場合は、簡単にパスワードが抜き取られてしまいます。
また、ハッシュ化されていても安心とは限りません。辞書にある単語や人名、地名といった単純なパスワードの場合、最新の解析技術を使えば短時間で解読されてしまうことがあります。特にハッシュの形式が古いサイトでは、そのリスクが高くなります。
2. ユーザを直接狙う攻撃
パスワードの流出は、サイトへの攻撃からだけではありません。最近では、サービスを利用するユーザ自身を直接狙う手口も急増しています。
こうした手口は、企業のシステムを突破するよりも、利用者をだまして情報を入力させたり、端末から情報を盗み取ったりするため、攻撃者にとって成功しやすいケースも少なくありません。
- インフォスティーラー:
情報窃取を目的としたマルウエアです。一度感染すると、Webブラウザに保存されているID・パスワードなどを盗み取ります。
- フィッシング詐欺:
本物そっくりの偽サイトへユーザを誘導し、自らID・パスワードを入力させる手口です。
ほかにも、企業の内部者による情報持ち出しなど、パスワード流出の経路は多岐にわたります。
流出したパスワードはどこへ行くのか―進化する闇市場と犯罪サプライチェーン
流出したID・パスワードは、ダークウェブ(※3)など闇サイトで売られています。近年ではリストの品質を上げ、より高値で販売する動きが強まっています。
- 稼働確認済みリストの販売:
過去の流出データに、特定のサイトに対して最新のログイン試行(リスト型攻撃)を組み合わせ、「そのサイトに現在ログインできるアカウント」だけを抽出した精度の高いリストが販売されています。
- 企業アカウントの売買:
一般ユーザだけでなく、特定企業への標的型攻撃に使えるように、「VPNアカウント」や「社内システム認証情報」など、企業の業務用アカウントリストも流通しています。
こうした市場の存在により、攻撃のハードルは劇的に下がりました。攻撃者は自ら情報を集めなくても、闇市場で確度の高いデータを購入するだけでいいのです。
いまやサイバー犯罪は、情報を盗む者、データを整理する者、攻撃を実行する者といった役割分担が進んでいます。犯罪の世界にも、効率的な「サプライチェーン」が形成されつつあると言えるでしょう。
※3:
一般的な検索エンジン(Google等)では見つからず、専用ブラウザでのみアクセスできる匿名性の高いWebサイトの総称。通信が暗号化され匿名で利用できるため、さまざまな違法取引が横行する。
パスワード流出への対策―自社情報が漏れていないか確認するには
では、個人のリテラシーだけに頼らず、企業はどのようにパスワード流出のリスクに対応すればよいのでしょうか。
リスト型攻撃の最大の問題は、正しいIDとパスワードで侵入してくる点です。この対策として重要になるのが、認証の強化と、流出情報の監視という2つのアプローチです。
1. 「パスワードだけ」に頼らない認証
まず有効なのが、パスワード以外の要素を組み合わせる多要素認証(MFA: Multi Factor Authentication)です。パスワードに加えて、別の認証要素を組み合わせることで不正ログインのリスクを大きく下げることができます。代表的な方法が「ワンタイムパスワード」です。専用のパスワード発生機やスマートフォンアプリケーションで生成した一回限りの認証コードをログイン時に入力する仕組みです。
ただし最近では、このワンタイムパスワードさえリアルタイムで盗み取る巧妙なフィッシング手法も登場しています。そのため金融機関などでは、指紋や顔認証などの「生体認証」や、スマートフォンなどのデバイス自体で認証を行う「パスキー」の導入も普及し始めています。
2. 内部システムに潜むリスクへの対処
もう一つ見逃せないのが、企業内部システムのパスワード流出に潜むリスクです。
多くの企業では、社内システムの認証にもパスワードを使用しています。そのため、もし自社のアカウント情報が闇市場で流通していた場合、内部システムへの不正アクセスにつながる可能性があります。
そのため、まずは自社に関する認証情報が闇市場で出回っていないかを調べることが重要です。もし自社を標的とした情報が闇市場に流通していれば、監視を強化したり、重要なアカウントについて保護を強化するという対策が必要になります。
しかし、一般企業が自力でダークウェブや闇サイトの情報を集めることは現実的ではありません。
そこで活用されているのが、「脅威インテリジェンスサービス」です。専門企業が闇市場から情報を収集・分析し、企業に重要な脅威情報を整理して提供します。
こうしたサービスをうまく活用することで、自社への攻撃を事前に察知し、監視強化やアカウント保護といった対策を講じることが可能になります。
電通総研では、こうした情報流出リスクの可視化と分析を支援する脅威インテリジェンスソリューション「KELA」(ケラ)を提供しています。
ソリューションの詳細については、以下をご参照のうえ、ぜひお気軽にお問い合わせください。
情報流出検知(脅威インテリジェンス)ソリューション「KELA」
長年コンピュータとともに使われてきた「パスワード」ですが、そろそろ仕組み自体を見直す時期に来ているのかもしれません。
