Webサイトからの大規模な個人情報漏えい、後を絶ちません。個人情報は盗まれるものと考えた方がよさそうです。
盗まれる個人情報には、氏名、住所、電話・FAX番号、メールアドレス、パスワード、会員番号や、ひいてはクレジットカード情報まで漏えいする場合があります。
増えてきた”パスワードリスト攻撃”とは
Webサイトから流出した個人情報、実は、そのサイトだけの被害にとどまりません!
盗まれたパスワードをもとに、他のWebサイトで不正ログインを試します。
その結果、もし、同じパスワードを複数のWebサイトで使っていた場合、情報漏えいしたWebサイト以外のサイトでも、不正アクセスが可能になります。これが”パスワードリスト攻撃”です。
パスワードリスト攻撃に対して最も有効な対策
「パスワードを使い回さない」、これが最も重要です。
もし、個人情報が漏えいした場合、同じID・パスワードを使っている他のサイトがあれば、パスワード変更をすぐに実施下さい。
■
■ パスワードリスト攻撃 (ID・パスワードの使い回しを狙った攻撃)
■
パスワードリスト攻撃とは、盗んだID・パスワードを用いて、他のサイトの不正アクセスを試みる攻撃です。
ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法です。
どんなに複雑なパスワードを設定しても、同じID・パスワードを使い回していると、1回の漏洩ですべてのWebサイトが不正ログインされてしまいます。
パスワードリスト攻撃は比較的簡単に行うことができるため、様々な場面で悪用され、被害事例の件数も多く、現在最もメジャーなサイバー攻撃の1つです。
パスワードリスト攻撃に対して最も有効な対策は、「ID・パスワードを使い回さない」、これが最も重要です。
パスワードリスト攻撃が成功すると、該当アカウントを乗っ取り、本人になりかわって様々な行動が可能です。実際に起きた事件の代表的な被害は以下です。
①ECサイト内のポイントの不正使用
②SNSアカウントの不正使用・不正投稿など
③個人情報の流出・改ざん及び削除
④企業秘密の漏洩
■
■ パスワードリスト攻撃の例
■
パスワードリスト攻撃の例として、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正アクセスが可能になります。単純なことですが、意外に忘れがちな落とし穴です。
サイトA・・・ログイン ID=abc パスワード=xyz12345
サイトB・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
サイトC・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ