突然ですが、あなたはきっと
パスワードを使い回していますよね!?
多くの人が1つか2つのパスワードを使いまわしていると言われます。
サイバー攻撃と言えば、
一昔前までは限られたPCユーザのみと思われていましたが、
近年のスマートフォンの爆発的普及に伴い、その脅威は身近なものとなりました。
スマートフォンの普及率は、2011年に14.6%であったものが、
2016年には56.8%と5年間で4倍に上昇していることもあり、
もはやサイバー攻撃対策は、誰もが行うべきものへと変化してきています。
今回は「パスワード」に関するサイバー攻撃、事例についてご紹介します。
パスワードに関連したサイバー攻撃とは?
パスワードを何らかの手段で盗まれて、
知らないうちに悪用されてしまうケースは
以前からありましたが、年々その手段は巧妙かつ悪質になっています。
パスワードを盗まれることで何が起きるかと言うと、
そのアカウントは「不正アクセス」されて、
契約しているサービスを勝手に実施されたり、解約されたりします。
さらに、同じパスワードを別サイトで使っている場合には、
その別サイトも乗っ取られてしまい、広範囲に被害が広がってしまうのです。
そのサイトでお金を払っている場合は、金銭的な被害を受けることになります。
さらに個人情報を抜かれて、別の犯罪に悪用されるケースも!
パスワードが盗まれる代表的な手段としては、以下が挙げられます。
→とにかく思いつく文字記号の組み合わせで、ログイン突破を試みる
誕生日や7777等の判りやすい組み合わせが狙われやすい
→パスワードで使われそうな文字列を用いて、片っ端から試してログイン突破を試みる
名前や地名等、覚えやすい文字列の組み合わせが狙われやすい
→1ユーザに対して複数のパスワードを変えながらログイン突破を試みるのではなく、
1パスワードに対して複数のIDを変えながらログイン突破を試みる。
1カ所で攻撃が成功したパスワードは、他サイトでの攻撃対象としてリスト化され
使いまわされる事で「パスワードリスト攻撃」と言われる場合もある
特にここ数年では「リバースブルートフォース攻撃」の被害が高くなっており、
複数のパスワードを管理する難しさを狙った、卑劣な手段と言わざるを得ません。
悪用しようとする人は、あなた個人を狙って行っているわけではありません。
たまたまログインが成功した「あなたの情報」を使って、悪用するのです。
つまり、あなたの身に覚えのないことで、犯罪の踏み台にされることになるのです!
パスワードに関連したサイバー攻撃の事例とは?
実は不正アクセスは、ほぼ毎日どこかで起こっていると言っても過言ではありません。
実害の有無にかかわらず、不正アクセスを検知したサービス提供事業者は、
サイバー攻撃を受けたとして、届け出を行っています。
しかし、未届けながら不正アクセスの被害を受けているケースも多々あります。
ここでは、サービス別で「不正アクセス」を受けた場合に、
どんな被害があったのかをご紹介します。
一度狙われたサイトには再び不正アクセスを試みる傾向もあり、
上記のセシールオンラインショップはこの後も数回、
不正アクセスの被害にあっています。
パスワードに関連したサイバー攻撃の件数、推移は?
もし、あなたのパスワードが悪意ある人に盗まれたら、どうなるのでしょうか?
悪意ある人は、そのパスワードを使って、
数々のサイトなどに「不正アクセス」を試みます。
ここで、総務省が発表している「不正アクセス」の件数推移を紹介しましょう。
| 区分/年次 | H22年 | H26年 |
| 1,885 | 3,545 | |
| 海外から | 57 | 298 |
| 国内から | 1,755 | 2,469 |
| 不明ルート | 73 | 778 |
ここ4年の間で、約倍増というデータです!怖すぎます!
特に、海外より国内からの不正アクセスが多いということは、
サイバー攻撃は海外のハッカーによる、海の向こうのお話では無くなっていて、
日頃良く使うサイトから、パスワードを盗まれるという事例が多いという事です!
また、攻撃対象となっているサービス別のデータを見てみましょう。
下記は、事業者から報告された
「連続自動入力プログラムによる不正ログイン攻撃」の
アクセスサイトサービス別の不正ログイン件数となっています。
| 区分/年次 | 不正ログイン件数 |
| オンラインゲーム | 59,463件 |
| インターネットショッピング | 21,235件 |
| インターネットバンキング | 109件 |
| その他 | 548,82件 |
| 合計 | 629、632件 |
オンラインゲームしているあなた!かなり狙われていますよ!
また、絶対強固なセキュリティで運用されていると信用している銀行でさえ、
パスワード不正アクセスが109件もあるというのは、かなり怖いです。
そして、次のデータがまた怖いです。
これらの不正アクセスに気づいて届け出たのは、一体誰なのか。
| 区分/年次 | H22年 | H26年 |
| サービス提供者から | 66件 | 1,848件 |
| 使用ユーザから | 314件 | 1,337件 |
| 発見者から | 9件 | 238件 |
| 警察捜査による | 1,488件 | 119件 |
| その他 | 8件 | 3件 |
| 合計 | 1,885件 | 3,545件 |
実際にパスワードを入力しているユーザは、全体のわずか38%しか
認識できていません!
そして近年は、警察捜査によって発見された数が、
著しく減っているのがお判りでしょう。
これを、サービス提供者(企業)のセキュリティ対策が効果を発揮していると見るか、
警察の目をかいくぐる様な、より巧妙な手口での不正アクセスが増加していると見るか。
パスワードの管理がどれだけ大事なことなのか、実感して頂けるかと思います。
パスワードに関連したサイバー攻撃 おわりに
いかがでしたでしょうか。
もはやネット無しでは日常生活もままならない現代社会では、
数々の認証方法が出てきているとはいえ
未だコスト面、運用面で手軽に採用・実施できるパスワード認証は、
まだまだ認証方法の主流です。
そのため、まずはパスワードを使う側・管理側、双方の意識を高めて
パスワードを管理することは欠かせません。
・パスワードは定期的に変更する。
・同じパスワードを複数サイトで使いまわししない
・不要になったサービスは解約する
・パスワード自動生成サイト等を利用し、第3者から判りづらいパスワードを作成する
※ただし、サイト例等で生成されるパターンを、パスワードクラッカー達が推測するようになるのは時間の問題です。なるべく文字数・記号数字の使用数・大文字小文字の使用数などを時折変更しながら、利用してください。
・ワンタイムパスワードの導入を検討する
→費用との兼ね合いと、作成ツールをユーザ側に持ってもらう必要があります
・2段階認証を導入する
→一次認証:パスワード、二次認証:登録済の文字列を要求、 など
・パスワードを入力している所を、第3者に盗聴されないようにする
→テンキー入力の手元を隠す、ネット接続は暗号化する、など
・パスワードの入力回数に上限を設ける
→総攻撃対策として有効です
くれぐれもパスワードの取り扱いには、十分な注意を払ってくださいね。
最後までお読みいただき、ありがとうございました。
