クレデンシャルスタッフィング攻撃の脅威
「パスワードの使い回し」があなたのネット生活を脅かす納得の理由
2022年06月14日 07時00分更新
・IDとパスワードを使い回していると、どこか1つのWebサービスから流出した途端、芋づる式にすべてのWebサービスが乗っ取られてしまう可能性あり。
・流出済みのIDとパスワードを使ってさまざまなWebサービスにログインを試みてアカウントを乗っ取る攻撃が存在する。
・対策は、IDとパスワードを使い回さないこと。また、パスワードを使わない「パスワードレス認証」対応サービスを使っているならば、認証方式を変更することもおすすめ。
あなたのWebサービスすべてを乗っ取る攻撃!?
「Webサービスごとに異なるIDとパスワードを用意すべし。IDとパスワードを使い回していると、どれか1つのWebサービスから流出した途端、芋づる式にあなたが利用するWebサービスすべてが乗っ取られてしまう可能性あり」という内容のアドバイスを受けた経験がある人は多いでしょう。そして同時に、このアドバイスに従っていない人もまた多いかと想像します。
私たちは仕事から趣味まで数多くのWebサービスを利用していますから、ついつい覚えやすい組み合わせを使い回してしまいがちです。そして大多数の人たちは、『私は今まで乗っ取られた経験なんてないし、周りでもそんな被害聞いたことないから、たぶん大丈夫』と考えているでしょう。
しかし、前述のアドバイスは決して杞憂ではありません。芋づる式にあなたのWebサービスすべてを乗っ取るための攻撃手段は実在しているのです。
今どきのサイバー攻撃は「安価・簡単・自動化」
その手段とは、事前にIDとパスワードのリストを用意した上で不正アクセスを試みる手口です。
Webサービスのログイン画面にデタラメな数列を入力し続けて「当たり」が出るのを待つのではなく、すでに流出済みのIDとパスワードを使ってさまざまなWebサービスにログインを試み、同じIDとパスワードを使用しているアカウントを乗っ取ってしまいます。これは、「たいていのユーザーはIDとパスワードを使い回している」という前提があるからこそ成り立つ攻撃手段なのです。
恐ろしいのは、この攻撃を実施するための敷居が低いこと。
まず、きっかけとなる流出済みのIDとパスワードはダークウェブと呼ばれるインターネット上で大量に売買されています。そして入手したIDとパスワードをさまざまなWebサービスに自動入力するツールも同じくダークウェブで安価に購入できます。しかも、そのツールは簡単に操作できるのです!
薄暗い部屋でキーボードをカチャカチャ早打ちしながら複雑なプログラミングを駆使するといった昔ながらのハッカー像は現状と必ずしも一致しません。今どきのサイバー攻撃は「安価・簡単・自動化」が進んでいます。
ですから、乗っ取るための膨大な試行錯誤は今この瞬間も繰り返されています。あなたとその周りの人たちが被害に遭っていないのは、単に「たまたま」であり、明日突然、使い慣れたSNSやメールサービスなどがことごとく使えなくなるかもしれないのです。
乗っ取り対策はIDとパスワードを使い回さないこと。また、パスワード不要の「パスワードレス認証」に対応したWebサービスを使っているならば、そちらに変更することも1つの方法でしょう。ドコモのdアカウントはもちろんのこと、Yahoo! JAPAN IDなども対応しています。
※「パスワードレス認証」とは、FIDO(ファイド)認証ともいい、パスワードの代わりに、あらかじめ端末に登録した生体情報(指紋や虹彩)やスマホの画面ロック解除を使って、ログインができる認証方法です。

この連載の記事
- 第74回 有料漫画が無料に!? 罠がいっぱいの海賊版サイトに近寄らないで
- 第72回 あなたのETCカードは無効になりました!? ドライバーを驚かせてクレカ情報を盗む偽Webサイト
- 第71回 ゲームでチートできるアプリを入手したらパソコンやスマホが使用不能に
- 第70回 子どもが被害に遭う前に「アプリは親の前でインストール」ルールは必須
- 第69回 「副反応が弱いワクチン」を確実に接種できる!? そんな都合の良い話はありません!
- 第68回 無料の北京五輪観戦サービス・アプリを発見!? それは罠かも!
- 第67回 あなたの大切な人たちを守るため、年末年始はスマホの「システムアップデート」をしてあげましょう!
- 第66回 QRコード決済を悪用する人たちは、私たちの前にまずお店を騙す
- 第65回 架空の通販サイトであの新型家庭用ゲーム機がバカ売れ!?
- 第64回 謎の有料サービスを撤回しようと電話をかけたら、いつの間にかパソコンが乗っ取られた!?
- この連載の一覧へ