2015年8月20日 10:00
STOP!パスワード使い回し! - サイバーエージェントの不正アクセス検知事例とは
これらのサービスは、「Ameba」のIDとパスワードを用いてユーザを認証しサービスを提供しています。弊社にとって「Ameba」のIDとパスワードは利用者の皆さまからお預かりした情報を安全に管理するための手段であり、厳重に管理をすべき情報のひとつです。
2013年以降、多くのインターネットサービスでパスワードリスト攻撃による不正ログインが発生しており、弊社においても利用者の皆さまにご心配とご迷惑をおかいたしました。
これを受け、弊社では再発防止のための監視などセキュリティ体制の強化を行うと共に、利用者さまにも、ご自身で実践できる予防対策をご案内させていただいております。
そこで、今回は、ついついしてしまうことの多い「パスワードの使い回し」にはどのような危険があるのか、セキュリティ対策の現場で実際に実施されている不正ログイン監視の方法を交えて解説をしたいと思います。
不正ログインの手法
他人のログインIDとパスワードを用いた不正ログインの手法としては以下に挙げるものがよく知られています。公開情報からの推測
ユーザ名やメールアドレス、誕生日など公開されている情報からパスワードを推測する手法
辞書攻撃
辞書に載っているような単語をパスワードに設定してログインを試みる手法
ブルートフォース攻撃
パスワードの文字列を総当りで入力してログインを試みる手法
リバースブルートフォース
パスワードを固定した上でログインIDを変化させ主に簡単なパスワードを設定しているユーザを探る手法
パスワードリスト攻撃
既に判明しているログインIDとパスワードのセットを順に入力してログインを試みる手法
不正ログインの監視方法と不正ログイン手法ごとの傾向
不正ログインの監視は主に以下の情報をもとにおこないます。