Yahoo!ニュース

IDでもっと便利に新規取得

ログイン

サイバー攻撃による個人情報流出が起こり続ける根本的理由とは?

配信

PHP Online 衆知(THE21)

ECサイトなどのウェブサイトやスマホアプリがサイバー攻撃を受け、個人情報やクレジットカード情報などが盗み出される事件が後を絶たない。いったい、なぜ根絶できないのか? サイバー攻撃に詳しい〔株〕サイバーセキュリティクラウド取締役CTOの渡辺洋司氏に話を聞いた。

サイバー攻撃者はパスワードをダークウェブで売買している

 ――個人情報やクレジットカード情報が盗まれたサイバー攻撃事件が、近年もしばしば報道されています。攻撃者の目的は、やはり金銭でしょうか? 【渡辺】 攻撃者は様々な目的でサイバー攻撃をするのですが、個人情報やクレジットカード情報を盗む場合は、金銭的な利益を目的としていることが多いでしょう。他人のクレジットカードを使って高額な商品や換金性の高い商品を購入したり、盗み出した個人情報を売ったりするのです。  他には、例えば、政治的なメッセージを発信するためにウェブサイトを改竄するサイバー攻撃や、怨恨や競合の妨害のためにサーバーをダウンさせるサイバー攻撃もあります。愉快犯によるものもありますし、外部のだけでなく、内部犯行のケースもあります。  ――サイバー攻撃の方法にも、様々なタイプがあるようですね。 【渡辺】 攻撃者は目的のためにあらゆる方法を取ります。目的と方法が対応しているわけではありません。  近年、報道されたサイバー攻撃を見ると、方法には大きく分けて2つのタイプがあります。パスワードリスト攻撃とシステムの脆弱性を突いた攻撃です。  ――まず、パスワードリスト攻撃とは、どういうものでしょう? 【渡辺】 ECサイトなどの会員制のサイトに、他の誰かのID・パスワードでログインするものです。つまり、アカウントの乗っ取りですね。  例えば、昨年、大手カード会社のアプリに対してパスワードリスト攻撃が行なわれ、最大1万6,000件以上の顧客IDに不正侵入される事件が起きています。  ――攻撃者がどこかでパスワードを盗んでいる? 【渡辺】 まず、パスワードに使われやすい文字列を様々に組み合わせて、片っ端から試すんです。この攻撃を「辞書型」と呼んでいます。ランダムな文字列を総当たりで試すケースもあります。その中に正しいパスワードがあると、ログインできるわけです。  正しいとわかったパスワードはリスト化されて、他のサイトの攻撃にも使われます。また、そのリストはダークウェブで売買されますから、それを買ってパスワードリスト攻撃をする攻撃者も多くいます。  ――パスワードリスト攻撃の被害を防ぐためには、どうすればいいのでしょう? 【渡辺】 簡単なパスワードを使わないことや、複数のサイトで同じパスワードを使い回さないことですね。  サイトの管理者にも、一定時間の間に何回もパスワードを間違えたら、そのアカウントを凍結するように設定したり、攻撃を仕掛けてきたIPアドレスをリスト化しておいて、そこからのアクセスではログインできないようにしたりと、対策できることはあります。  とはいえ、複数のサイトで同じパスワードを使い回していて、そのパスワードがダークウェブで売買されていたら、攻撃者が1回アクセスするだけでログインできてしまうかもしれませんから、ユーザー個人がパスワードの管理に気をつけることが重要です。  ――自分が使っているサイトで、他のユーザーのアカウントが乗っ取られたら、自分も被害に遭う可能性があるのでしょうか? 【渡辺】 単に、あるユーザーのアカウントを乗っ取ったからといって、他のユーザーのパスワードを知ることはできません。けれども、サイトの管理者のアカウントが乗っ取られると、多数のユーザーの個人情報が見られてしまう可能性があります。  クレジットカード情報については、サイトとは別のサーバーに置くことを定めたガイドラインがあるので、それに従っていれば、管理者のアカウントを乗っ取られても、見られることはありません。ただ、必ずしもすべての管理者が従っているとは限りません。

【関連記事】