クレデンシャルスタッフィング攻撃の脅威
「パスワードの使い回し」があなたのネット生活を脅かす納得の理由
2022年06月14日 07時00分更新
・IDとパスワードを使い回していると、どこか1つのWebサービスから流出した途端、芋づる式にすべてのWebサービスが乗っ取られてしまう可能性あり。
・流出済みのIDとパスワードを使ってさまざまなWebサービスにログインを試みてアカウントを乗っ取る攻撃が存在する。
・対策は、IDとパスワードを使い回さないこと。また、パスワードを使わない「パスワードレス認証」対応サービスを使っているならば、認証方式を変更することもおすすめ。
あなたのWebサービスすべてを乗っ取る攻撃!?
「Webサービスごとに異なるIDとパスワードを用意すべし。IDとパスワードを使い回していると、どれか1つのWebサービスから流出した途端、芋づる式にあなたが利用するWebサービスすべてが乗っ取られてしまう可能性あり」という内容のアドバイスを受けた経験がある人は多いでしょう。そして同時に、このアドバイスに従っていない人もまた多いかと想像します。
私たちは仕事から趣味まで数多くのWebサービスを利用していますから、ついつい覚えやすい組み合わせを使い回してしまいがちです。そして大多数の人たちは、『私は今まで乗っ取られた経験なんてないし、周りでもそんな被害聞いたことないから、たぶん大丈夫』と考えているでしょう。
しかし、前述のアドバイスは決して杞憂ではありません。芋づる式にあなたのWebサービスすべてを乗っ取るための攻撃手段は実在しているのです。
今どきのサイバー攻撃は「安価・簡単・自動化」
その手段とは、事前にIDとパスワードのリストを用意した上で不正アクセスを試みる手口です。
Webサービスのログイン画面にデタラメな数列を入力し続けて「当たり」が出るのを待つのではなく、すでに流出済みのIDとパスワードを使ってさまざまなWebサービスにログインを試み、同じIDとパスワードを使用しているアカウントを乗っ取ってしまいます。これは、「たいていのユーザーはIDとパスワードを使い回している」という前提があるからこそ成り立つ攻撃手段なのです。
恐ろしいのは、この攻撃を実施するための敷居が低いこと。
まず、きっかけとなる流出済みのIDとパスワードはダークウェブと呼ばれるインターネット上で大量に売買されています。そして入手したIDとパスワードをさまざまなWebサービスに自動入力するツールも同じくダークウェブで安価に購入できます。しかも、そのツールは簡単に操作できるのです!
薄暗い部屋でキーボードをカチャカチャ早打ちしながら複雑なプログラミングを駆使するといった昔ながらのハッカー像は現状と必ずしも一致しません。今どきのサイバー攻撃は「安価・簡単・自動化」が進んでいます。
ですから、乗っ取るための膨大な試行錯誤は今この瞬間も繰り返されています。あなたとその周りの人たちが被害に遭っていないのは、単に「たまたま」であり、明日突然、使い慣れたSNSやメールサービスなどがことごとく使えなくなるかもしれないのです。
乗っ取り対策はIDとパスワードを使い回さないこと。また、パスワード不要の「パスワードレス認証」に対応したWebサービスを使っているならば、そちらに変更することも1つの方法でしょう。ドコモのdアカウントはもちろんのこと、Yahoo! JAPAN IDなども対応しています。
※「パスワードレス認証」とは、FIDO(ファイド)認証ともいい、パスワードの代わりに、あらかじめ端末に登録した生体情報(指紋や虹彩)やスマホの画面ロック解除を使って、ログインができる認証方法です。
この連載の記事
-
第97回
sponsored
秋から年末年始の時期は「安売りセール」に便乗した詐欺にご注意を! -
第96回
sponsored
あなたを騙す「危ないURL」が動画サイトで増殖中! ウイルス感染の恐れも -
第95回
sponsored
突然ウイルス感染報告と電話番号が! それは偽警告です -
第94回
sponsored
診断系サービスは楽しいけれど……SNS乗っ取りに注意 -
第93回
sponsored
インフラ会社を装ったサイバー攻撃はAndroidスマホと日本人が標的だった! -
第92回
sponsored
意外!? 高齢者もアダルト情報のワンクリック詐欺に注意 -
第91回
sponsored
偽の『dカード』利用停止メールに要注意。クレカを乗っ取られる恐れあり -
第90回
sponsored
詐欺に私たちがコロっと騙されてしまう理由は3つのKにアリ! -
第89回
sponsored
Wi-Fiは「鍵マーク」付を選んで使いましょう! 安全に通信できます -
第88回
sponsored
スマホに延々と『ウイルス発見!』の通知が届き続ける!? -
第87回
sponsored
きっぷを買おうと思ったら個人情報を盗まれた!? - この連載の一覧へ