5分で解説！ あなたとスマホは狙われている 第73回

クレデンシャルスタッフィング攻撃の脅威

「パスワードの使い回し」があなたのネット生活を脅かす納得の理由

クレデンシャルスタッフィング攻撃に注意！

あなたのWebサービスすべてを乗っ取る攻撃!?

　「Ｗebサービスごとに異なるIDとパスワードを用意すべし。IDとパスワードを使い回していると、どれか1つのWebサービスから流出した途端、芋づる式にあなたが利用するWebサービスすべてが乗っ取られてしまう可能性あり」という内容のアドバイスを受けた経験がある人は多いでしょう。そして同時に、このアドバイスに従っていない人もまた多いかと想像します。

　私たちは仕事から趣味まで数多くのWebサービスを利用していますから、ついつい覚えやすい組み合わせを使い回してしまいがちです。そして大多数の人たちは、『私は今まで乗っ取られた経験なんてないし、周りでもそんな被害聞いたことないから、たぶん大丈夫』と考えているでしょう。

　しかし、前述のアドバイスは決して杞憂ではありません。芋づる式にあなたのWebサービスすべてを乗っ取るための攻撃手段は実在しているのです。

今どきのサイバー攻撃は「安価・簡単・自動化」

　その手段とは、事前にIDとパスワードのリストを用意した上で不正アクセスを試みる手口です。

　Webサービスのログイン画面にデタラメな数列を入力し続けて「当たり」が出るのを待つのではなく、すでに流出済みのIDとパスワードを使ってさまざまなWebサービスにログインを試み、同じIDとパスワードを使用しているアカウントを乗っ取ってしまいます。これは、「たいていのユーザーはIDとパスワードを使い回している」という前提があるからこそ成り立つ攻撃手段なのです。

　恐ろしいのは、この攻撃を実施するための敷居が低いこと。

　まず、きっかけとなる流出済みのIDとパスワードはダークウェブと呼ばれるインターネット上で大量に売買されています。そして入手したIDとパスワードをさまざまなWebサービスに自動入力するツールも同じくダークウェブで安価に購入できます。しかも、そのツールは簡単に操作できるのです！

　薄暗い部屋でキーボードをカチャカチャ早打ちしながら複雑なプログラミングを駆使するといった昔ながらのハッカー像は現状と必ずしも一致しません。今どきのサイバー攻撃は「安価・簡単・自動化」が進んでいます。

　ですから、乗っ取るための膨大な試行錯誤は今この瞬間も繰り返されています。あなたとその周りの人たちが被害に遭っていないのは、単に「たまたま」であり、明日突然、使い慣れたSNSやメールサービスなどがことごとく使えなくなるかもしれないのです。

　乗っ取り対策はIDとパスワードを使い回さないこと。また、パスワード不要の「パスワードレス認証」に対応したWebサービスを使っているならば、そちらに変更することも１つの方法でしょう。ドコモのdアカウントはもちろんのこと、Yahoo! JAPAN IDなども対応しています。

※「パスワードレス認証」とは、FIDO（ファイド）認証ともいい、パスワードの代わりに、あらかじめ端末に登録した生体情報（指紋や虹彩）やスマホの画面ロック解除を使って、ログインができる認証方法です。