不正ログインやアカウント乗っ取りの被害が、後を絶ちません。2023年に入ってから、日本企業の公式Twitterアカウントが乗っ取られた事例が、少なくとも3件確認されています。また、ある国内のサービスへの不正ログインに、別のサービスから漏洩したID・パスワードが使われたケースも報告されています。
不正ログインは、アカウントへのログインに必要な認証情報(IDやパスワード)を、他人が勝手に利用することで発生します。よって、不正ログインを防ぐには、ID・パスワードが勝手に利用される原因を知り、それに応じた対策を行っていくことが必要です。
以下、不正ログインの主な原因と対策について解説していきます。
フィッシングによる漏洩
マルウェア感染による漏洩
サイトからの漏洩(サイバー攻撃、設定ミスなど)
リバースブルートフォース攻撃
ユーザーが行う不正ログイン対策
企業全体として行う不正ログイン対策
不正ログインの原因①:漏洩したID・パスワードが利用される
まず挙げられるのは、攻撃者が、漏洩したID・パスワードを使ってログインを試みるケースです。
現在、様々なサービスから漏洩したID・パスワードなどの認証情報が、ダークウェブを含むサイバー空間で取引されています。ダークウェブなどの不法コミュニティをモニタリングするツール「Flashpoint」の過去30日間のデータによれば、1日約53万件のペースで新たな認証情報が不法コミュニティ上に投稿されています。
ID・パスワードが漏洩する原因には、以下のようなものがあります。
フィッシングによる漏洩
フィッシングとは、攻撃者が実在するサービスの名を騙り、ユーザーからID・パスワードを入手しようとする攻撃手法です。本物のサービスに似せたWebサイト(フィッシングサイト)を作り、そこにID・パスワードを入力させる方法が、よく知られています。また、こうしたサイトに誘導するために、本物のサービスを騙ったメール(フィッシングメール)やショートメールをユーザーに送る方法もよく使われます。
マルウェア感染による漏洩
マルウェアの中には、様々な方法で機器の情報を盗み出すものがあります。ID・パスワードを漏洩させるマルウェアには、キーワードで打ち込んだ内容を記録して攻撃者に送る「キーロガー」、コピーアンドペーストの際にコピーされた情報を攻撃者に送る「クリッパー」などがあります。また、偽アプリ(パスワード管理ツールを装ったものなど)も、こうしたマルウェアの中に含まれます。マルウェアの感染経路が、フィッシングメールの添付ファイルやリンクである場合もあります。
サイトからの漏洩(サイバー攻撃、設定ミスなど)
もう1つ、ID・パスワードが漏れる経路として、ログインが必要なサイトのデータベースからの漏洩が挙げられます。例えば、サイトに潜む脆弱性を悪用して、サイトのデータベースからデータを抜き取る攻撃(SQLインジェクション)が行われたケースがあります。また、単なる設定ミスにより誰でもデータベースの中身を閲覧できる状態となっているところを、攻撃者に狙われる事例も頻発しています。
もっとも、多くのサービス提供元は、ID・パスワードをそのままの状態(平文)で保存せず、盗んだだけでは簡単に悪用できないような文字列(ハッシュ値)に変換した上で保存しています。しかし過去には、提供元が平文で保存していたパスワードが漏洩して、問題になったケースもあります(Facebook[1]、Google[2]の事例)。また、強力なコンピューターや特殊な手法を用いて、ハッシュ値から割り出されたパスワードが、不正ログインに悪用されることもあります。攻撃者は、このようにして漏洩した大量のID・パスワードを用いて、複数のサイトにログインを試みます。この攻撃は、パスワードリスト攻撃や、クレデンシャルスタッフィングと呼ばれ、日本でも過去1年間に攻撃事例が複数確認されています。同じパスワードを複数のサービスで使い回すユーザーが標的になっています。
不正ログインの原因②:ID・パスワードを推測される
ここまで、漏洩したID・パスワードを使った不正アクセスを見てきました。一方で、ID・パスワードが漏洩していないにもかかわらず、不正ログインされるケースも存在します。つまり、攻撃者にパスワードを推測されるケースです。推測の手法にはいくつかありますが、ここでは、少し前に日本で話題になったリバースブルートフォース攻撃という手法を紹介します。
リバースブルートフォース攻撃
リバースブルートフォース攻撃とは、よく使われがちなパスワードを1つ選んで、多数のアカウントにログインを試みる攻撃手法です。
多くのサイトは、一定時間内に行えるログイン試行回数の上限を、各アカウントに設けています。しかし、リバースブルートフォースは、同一のアカウントに何度もログインを試みるわけではないため、上のような回数制限に引っかかりません。リバースブルートフォースでは、「password1」「123456」「qwerty」などの単純なパスワードのほか、「admin」などのデフォルト(初期設定の)パスワードが悪用されます。
企業が行うべき不正ログイン対策
以上、不正ログインの主な原因として、漏洩パスワードが悪用されるケースと、パスワードを推測されるケースを見てきました。これらに対し、企業のユーザーやシステム管理者は、どのような対策を取るべきでしょうか?
ユーザーが行う不正ログイン対策
パスワードは長く複雑に
上記のリバースブルートフォースの話で触れた通り、単純なパスワードや初期設定のパスワードは危険です。初期設定のパスワードは必ず、推測されにくいパスワードへ変更しましょう。
推測されにくくするためには、パスワードを長く複雑にすることが有効です。なお、内閣サイバーセキュリティセンターは、英大文字小文字、数字、記号26種の合計88種類の文字を使った、10桁のパスワードを推奨しています[3]。また、キーボードの配列をなぞった文字列(例:「12345」「qwerty」「1qaz2wsx」)、意味のある単語(「password」「p@ssword」)、名前や誕生日も推測されやすいため、使用しないようにしましょう。
パスワードは使い回さない
また、パスワードリスト攻撃の被害に遭わないためにも、パスワードの使い回しは避けましょう。とはいえ、膨大な数のパスワードを覚えるのは非現実的です。パスワードを自動生成して安全に管理するパスワード管理アプリを使うことは、セキュリティと利便性を両立する上で有効です(もちろん、アプリは信頼できるものを選びましょう)。また、IPAのWebサイトでは、覚えやすくて強いパスワードを作るための工夫が紹介されていますので、参考となるでしょう [4]。
フィッシング対策:リンクなどをクリックしない
次に、フィッシングに引っかからないための対策です。この対策は、フィッシングメールの添付ファイルやリンクを通じてばら撒かれるマルウェアへの対策でもあります。
IPAは、メールの添付ファイルやリンク、画像を安易にクリックしないよう推奨しています[5]。とはいえ、フィッシングメールは、ユーザーの目を引く文言(例えば以下の画像)を用いて巧みにクリックを促します。「内容が気になる」「確認した方がよい」と感じた場合に、リンクやURLをクリックせずに内容を確認する方法として、IPAは以下の3つを推奨しています。
①ウェブページを検索して開き、確認する
②あらかじめブックマーク(お気に入り)しておく
③あらかじめ正規のアプリをインストールしておき、そのアプリを使ってサービスを参照する
巧妙化するフィッシングメール:2022年に確認された例
企業/組織として行う不正ログイン対策
最後に、マルウェアや脆弱性への対策を含む、企業や組織として行える主な対策を、いくつか紹介します。
アンチウイルス、EDRなどのセキュリティ製品を導入する
アンチウイルス(ウイルス対策ソフト)は、単に導入するだけでなく、定期的なスキャンやパターンファイルの更新を行う設定にし、結果を確認することが重要です。同時に、万が一ウイルスに感染してしまった際に被害を抑えられるEDRも、併せて使用すると効果的です。
多要素認証を導入する
多要素認証とは、ユーザーの①知っているもの(例:パスワード)②持っているもの(例:デバイス)③本人自身に関するもの(例:指紋、虹彩)のうち、2つ以上の要素を用いて認証を行う方法です(2つだけ利用する場合は、2要素認証と呼びます)。これを利用することで、パスワードが漏洩しただけでは不正ログインできないようになります。ただし、多要素認証を突破する手法(中間者攻撃、SIMスワップなど)も存在することから、導入すれば絶対に安全とは言えません。とはいえ、導入しない場合と比べて、攻撃者の手間が増え、リスクが減ることは間違いありません。
資産管理とパッチ適用
組織の規模が大きくなるほど、情報資産の量は増加します。よって、不適切な設定や、パッチを適用できていない重大な脆弱性を把握することは難しくなります。また、どの脆弱性に優先的に対処するのかの判断も難しくなります。1つの方法として、攻撃者の目から見て攻撃しやすい資産を特定して、優先的に対処していくアタックサーフェス管理が昨今注目されています。
自社に関連したドメインの漏洩認証情報検知を実施する
漏洩が検知されたアカウントに対して、速やかにパスワードのリセットを行うことで、認証情報が悪用されることを未然に防ぐことができます。認証情報の漏洩検知を迅速に行うには、Flashpointのような漏洩認証情報検知ツールの活用が有効です(後述)。
ユーザーへのセキュリティ教育
先述のパスワードの適切な管理やフィッシング対策などについて、ユーザーに周知することも重要な対策の1つです。
サービス提供者が行う対策
このほか、ログインが必要なサービスを提供する側の対策の一例として、以下のようなものがあります。
▼フィッシングメールやサイトを判別しやすくする対策を行う(例:電子署名、送信ドメイン認証(SPF、DKIM)への対応、など[7])
▼Webアプリケーションのパスワードリカバリー、ロックアウトなどの認証メカニズムを適切なものにする
漏洩認証情報を検知できるツール「Flashpoint」
以上、不正ログインの原因と対策をご紹介しました。最後に、ダークウェブ等に漏洩した認証情報を検知できる脅威インテリジェンスツール「Flashpoint」をご紹介します。漏洩した際の速やかな対処に役立つのはもちろん、不正ログインを行う攻撃者の動向把握や、セキュリティ戦略・運用を改善する際の情報収集や分析に力を発揮することでしょう。
Flashpoint
ディープ&ダークウェブ(DDW)やチャットアプリのみならず、オープンソースをも含めた「不法コミュニティ」全体をカバーした脅威インテリジェンスツールです。
なお、マキナレコード社の実績のあるアナリストがお客様に代わり本ツールを用いて、個別の要件に基づいた監視/通知/運用を行うマネージドでのサービス提供も可能です。お気軽にご相談ください。
米国司法機関等を経て経験を積んだアナリストが、30以上の言語を対象としたサイバー犯罪や物理的なテロ脅威など多岐にわたり分析します。他の脅威インテリジェンスサービスとの連携にも対応しており、米国の主要な金融機関、司法機関、リテール、保険業界など、Fortune500の多くの企業により採用されています。国内でも官公庁やプライム企業を中心に複数の採用実績があります。
参考資料
[1]IT media, 2019年3月22日, Facebook、ユーザー数億人のパスワードを社内サーバに平文で保存
[2]Computerworld, 2019年5月24日, Googleがパスワード平文保存で謝罪、影響の規模は明かさず
[3]NISC, 2023年1月改訂, 「インターネットの安全・安心ハンドブック Ver5.00」より「第6章 パスワードの大切さを知り、通信の安全性を支える暗号化について学ぼう」, p112
[4]情報処理推進機構(IPA), 2016年8月3日, 「安心相談窓口だより 不正ログイン被害の原因となるパスワードの使い回しはNGーちょっとした工夫でパスワードの使い回しを回避ー」
[5] IPA, 2023年2月, 「情報セキュリティ対策の基本と共通対策 情報セキュリティ 10 大脅威2023版」
[6]フィッシング対策協議会, 2022年8月23日, 「緊急情報 国税庁をかたるフィッシング (2022/08/23)」
[7]フィッシング対策協議会, 「フィッシング対策ガイドライン 2022年度版」
Writer
一橋大学卒業後、新聞記者などを経て、マキナレコード入社。以降、翻訳スタッフとして、情報セキュリティやダークウェブ関連のインテリジェンスレポートや、マニュアル文書等の英日翻訳を担当。現在、アナリストチームの一員として分析・報告業務に携わる。翻訳者評価登録センター (RCCT)登録翻訳者。資格区分:Professional Translator(T00074)。