今、流行のアカウントハッキング方法です。ここ数カ月間、さまざまなオンラインサービスが「リスト型アカウントハッキング攻撃」(以下、リスト型攻撃)という、ハッキング被害を受けています。以下の不正ログイン報告は、すべて「リスト型攻撃」によるもの。
・はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い[はてな]
・他社流出パスワードを用いた不正ログインについて[ニコニコ動画]
・「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い[サイバーエージェント]
ご覧のとおり、だれでも知っているような有名サービスも、被害にあっていますね。さらに、上記3サイト以外にも、mixiやLINEなども被害を公表しており、多数のサイトが「リスト型攻撃」を受けています。
また、この攻撃により、実際に多くのアカウントが不正ログインされた上に、パスワードの書き換えなどで乗っ取られてしまいました。怖いですね。
ところで、この「リスト型攻撃」とは、一体どういったものなのでしょうか。また、もしも自分が利用しているオンラインサービスがこの攻撃を受けてしまったら、どうすればよいのでしょう。
そこで今回は、「リスト型攻撃」についての解説と、その対策をご紹介したいと思います。
「リスト型攻撃」の仕組み
たとえば、どこかのオンラインサービスで、情報漏洩が起きてしまったとしましょう。この時に、ユーザーのメールアドレスやIDと、パスワードの組み合わせが漏洩してしまうと、「リスト型攻撃」が始まります。
悪意のあるユーザーは、この漏洩した情報を使って、他サービスへのログインを試みます。すると、多くのユーザーが同じIDとパスワードの組み合わせを他サービスでも使いまわしているため、不正ログインできてしまうというわけです。
どんなにセキュリティに気を遣ったサービスも、他サイトから流出した情報で攻撃されてしまえば関係ありません。登録して利用している中に、どれか一つでもセキュリティに問題のあるサービスがあるだけで被害にあってしまうのが、「リスト型攻撃」の厄介なところなのです。
また、情報漏洩以外にも、フィッシングサイトによってIDとパスワードを入力させられてしまったというケースもありえます。情報の流出を完全に防ぐことは、極めて難しいというのが現状といえましょう。
被害をあらかじめ防ぐには?
では、どうすれば「リスト型攻撃」から、アカウントを守ることができるのでしょうか。一番簡単な方法は、パスワードの使い回しをしないことです。
リスト型攻撃は、流出したID情報が他サービスで使い回しをされていることを期待してログインを試みるという方法です。パスワードがサービスごとに違えば、高確率で不正ログインを防げるというわけですね。
しかし、利用するサービスの数が増えてくると、すべてのサービスで別のパスワードを使用するのは大変です。そんなときは、パスワードの管理アプリがありますので、ご利用を検討してみはいかがでしょうか。
・パスワード毎回忘れるとかマジありえないですから! とっておきパスワード管理アプリをご紹介【&使い方】[Android]
これでも100%安全になるわけではありませんが、かなりマシになるはずですよ。
それでも被害にあってしまったら
不正ログインの被害にあってしまった場合は、そのサービスや被害状況によって取るべき対応が異なってきます。ほとんどの場合は、サービス運営者から出る報告と指示をよく読んで従うべきでしょう。
共通しているのは、リスト攻撃被害にあってしまったら、パスワードの変更をする必要があるという点です。被害にあったアカウントは、パスワードを変更するまでログイン不可の処置を取るサービスも数多くあります。
以上、「リスト型攻撃」に関する解説でした。
[via ねとらぼ]
Photo by Thinkstock/Getty Images
(コンタケ)
