23

皆さんこんにちは。
プライバシーザムライ中康二です。

パスワードリスト攻撃の被害が頻発し、脅威がますます大きくなっていますね。

世界の数多くのネットサービスからメールアドレスとパスワードの組み合わせが流出し、それが集約されて何億件ものリストになったものが、地下ネットで流通しているわけですから、それが悪用されるのも当然のことといえましょう。

パスワードリスト攻撃に関する過去の記事
パスワード使いまわしに関する過去の記事

これに対してどのように対策を取ればいいのか。

セブンPay事件で「2段階認証」という言葉が注目されるようになり、それが解決策のように思われている方も多いと思いますが、私はむしろそのもっと前の段階にある「悪習」をやめることによってパスワードリスト攻撃を撲滅することを提案したいと思います。

それは、メールアドレスをIDとして使用することをやめて、独自ID方式を採用することです。

もともと、ネットサービスでは、独自にIDを発行していました。
(例)
 ニフティサーブ ABC11102
 三菱UFJ銀行  29238371
 エバーノート  samurai_koji
というような感じです。

このように独自IDを発行して、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとしても、そうそう簡単に他のサービスに入力して試すということはできません。難易度が高く、成功率が低くなりますので、そのような攻撃は成立しえないと思います。

ところが、最近のネットサービスでは、メールアドレスをIDとして使用しているものが大半です。
(例)
 Facebook samurai@xmail.com
 Amazon  samurai@xmail.com
 日経ID   samurai@xmail.com
 リクルート samurai@xmail.com
 Hなサイト samurai@xmail.com
というような感じです。

このようにメールアドレスをIDとして使用し、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとすると、何割かの利用者は同じパスワードを使いまわししているので、簡単に他のサービスでも使えてしまうということになってしまいます。これがパスワードリスト攻撃です。

また、最後の「Hなサイト」というところに注目してください。運営者もよく分からない海外のアダルトサイトにメインのメールアドレスを登録して、しかもパスワードを使いまわすような人も実際にいるのです。そういう不用心な人がパスワードリスト攻撃の被害者とも言えます。

多くのネットサービスでは、パスワードの管理は利用者側にあると定義しており、利用者側が不注意にパスワードを扱った場合にはどんな被害を受けても運営者側は責任を持たないとしています。ですから、従来、どれだけパスワードリスト攻撃で被害が発生しても、運営者側は関知せず、利用者に対してパスワード変更を促す程度で済んできました。

しかし、パスワードリスト攻撃による被害が増え、巻き込まれる利用者が増えるにつれて、そういうわけにもいかなくなってきていると思います。ですから、運営者側でも24時間監視するとか、2段階認証を追加するなどの対策が求められるようになっており、実際にそういうことを検討されているケースも多いと思います。

パスワードリスト攻撃対策は事業者側の義務となりつつあります(ヤマト運輸の事例から)

しかし、もっと簡単な方法があるのです。それが独自ID方式の採用です。

現在のすべての利用者に一意のIDを発行し、

------------------------------------------------------------
当社のサービスでは、メールアドレスをIDとして使用することは中止します。
今後は「AJSH281716」というIDを使用してください。
------------------------------------------------------------

と利用者に周知するだけでいいのです。
これだけで、自社のサービスに対するパスワードリスト攻撃を撲滅できます。24時間監視も2段階認証も不要になります。

もちろん、「IDが分からない」という利用者からの問い合わせに対応する必要が出てくるでしょう。そのような方のために、メールアドレスを入力すればその人にIDをお知らせする「IDリマインダー機能」を用意すればいいと思います。その他にもいくつかの対応は必要となってくるでしょう。それでもパスワードリスト攻撃に真っ向から対策するよりは安上がりに済むと思います。

特に、これから新たなサービスを開発しようと考えておられる場合には、メールアドレスをIDとして利用するのではなく、独自IDを採用することを検討していただきたいと思います。今でも金融機関など堅いセキュリティが求められているサービスでは独自ID方式が採用されています。独自ID方式は全く変な方式ではなく、むしろ王道ですので、それを採用していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。






●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)