増えてきた”パスワードリスト攻撃” 同じパスワードを複数サイトで使うと危険!

Webサイトからの大規模な個人情報漏えい、後を絶ちません。個人情報は盗まれるものと考えた方がよさそうです。

 

盗まれる個人情報には、氏名、住所、電話・FAX番号、メールアドレス、パスワード、会員番号や、ひいてはクレジットカード情報まで漏えいする場合があります。

 

増えてきた”パスワードリスト攻撃”とは

 

Webサイトから流出した個人情報、実は、そのサイトだけの被害にとどまりません! 

盗まれたパスワードをもとに、他のWebサイトで不正ログインを試します。

 

その結果、もし、同じパスワードを複数のWebサイトで使っていた場合、情報漏えいしたWebサイト以外のサイトでも、不正アクセスが可能になります。これが”パスワードリスト攻撃”です。

 

パスワードリスト攻撃に対して最も有効な対策

 「パスワードを使い回さない」、これが最も重要です。

 

もし、個人情報が漏えいした場合、同じID・パスワードを使っている他のサイトがあれば、パスワード変更をすぐに実施下さい。

 

■ パスワードリスト攻撃 (ID・パスワードの使い回しを狙った攻撃)

パスワードリスト攻撃とは、盗んだID・パスワードを用いて、他のサイトの不正アクセスを試みる攻撃です。

ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法です。

どんなに複雑なパスワードを設定しても、同じID・パスワードを使い回していると、1回の漏洩ですべてのWebサイトが不正ログインされてしまいます。

パスワードリスト攻撃は比較的簡単に行うことができるため、様々な場面で悪用され、被害事例の件数も多く、現在最もメジャーなサイバー攻撃の1つです。

 

パスワードリスト攻撃に対して最も有効な対策は、「ID・パスワードを使い回さない」、これが最も重要です。

 

パスワードリスト攻撃が成功すると、該当アカウントを乗っ取り、本人になりかわって様々な行動が可能です。実際に起きた事件の代表的な被害は以下です。

①ECサイト内のポイントの不正使用

②SNSアカウントの不正使用・不正投稿など

③個人情報の流出・改ざん及び削除

④企業秘密の漏洩

 

■ パスワードリスト攻撃の例

 

パスワードリスト攻撃の例として、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正アクセスが可能になります。単純なことですが、意外に忘れがちな落とし穴です。

 

  サイトA・・・ログイン ID=abc パスワード=xyz12345

  サイトB・・・ログイン ID=abc パスワード=xyz12345

    *サイトAとID・パスワードが同じ

  サイトC・・・ログイン ID=abc パスワード=xyz12345

    *サイトAとID・パスワードが同じ