ECサイトなどのウェブサイトやスマホアプリがサイバー攻撃を受け、個人情報やクレジットカード情報などが盗み出される事件が後を絶たない。いったい、なぜ根絶できないのか? サイバー攻撃に詳しい〔株〕サイバーセキュリティクラウド取締役CTOの渡辺洋司氏に話を聞いた。

サイバー攻撃者はパスワードをダークウェブで売買している

サイバー攻撃,渡辺洋司
(画像=THE21オンライン)

――個人情報やクレジットカード情報が盗まれたサイバー攻撃事件が、近年もしばしば報道されています。攻撃者の目的は、やはり金銭でしょうか?

【渡辺】 攻撃者は様々な目的でサイバー攻撃をするのですが、個人情報やクレジットカード情報を盗む場合は、金銭的な利益を目的としていることが多いでしょう。他人のクレジットカードを使って高額な商品や換金性の高い商品を購入したり、盗み出した個人情報を売ったりするのです。

他には、例えば、政治的なメッセージを発信するためにウェブサイトを改竄するサイバー攻撃や、怨恨や競合の妨害のためにサーバーをダウンさせるサイバー攻撃もあります。愉快犯によるものもありますし、外部のだけでなく、内部犯行のケースもあります。

――サイバー攻撃の方法にも、様々なタイプがあるようですね。

【渡辺】 攻撃者は目的のためにあらゆる方法を取ります。目的と方法が対応しているわけではありません。

近年、報道されたサイバー攻撃を見ると、方法には大きく分けて2つのタイプがあります。パスワードリスト攻撃とシステムの脆弱性を突いた攻撃です。

――まず、パスワードリスト攻撃とは、どういうものでしょう?

【渡辺】 ECサイトなどの会員制のサイトに、他の誰かのID・パスワードでログインするものです。つまり、アカウントの乗っ取りですね。

例えば、昨年、大手カード会社のアプリに対してパスワードリスト攻撃が行なわれ、最大1万6,000件以上の顧客IDに不正侵入される事件が起きています。

――攻撃者がどこかでパスワードを盗んでいる?

【渡辺】 まず、パスワードに使われやすい文字列を様々に組み合わせて、片っ端から試すんです。この攻撃を「辞書型」と呼んでいます。ランダムな文字列を総当たりで試すケースもあります。その中に正しいパスワードがあると、ログインできるわけです。

正しいとわかったパスワードはリスト化されて、他のサイトの攻撃にも使われます。また、そのリストはダークウェブで売買されますから、それを買ってパスワードリスト攻撃をする攻撃者も多くいます。

――パスワードリスト攻撃の被害を防ぐためには、どうすればいいのでしょう?

【渡辺】 簡単なパスワードを使わないことや、複数のサイトで同じパスワードを使い回さないことですね。

サイトの管理者にも、一定時間の間に何回もパスワードを間違えたら、そのアカウントを凍結するように設定したり、攻撃を仕掛けてきたIPアドレスをリスト化しておいて、そこからのアクセスではログインできないようにしたりと、対策できることはあります。

とはいえ、複数のサイトで同じパスワードを使い回していて、そのパスワードがダークウェブで売買されていたら、攻撃者が1回アクセスするだけでログインできてしまうかもしれませんから、ユーザー個人がパスワードの管理に気をつけることが重要です。

――自分が使っているサイトで、他のユーザーのアカウントが乗っ取られたら、自分も被害に遭う可能性があるのでしょうか?

【渡辺】 単に、あるユーザーのアカウントを乗っ取ったからといって、他のユーザーのパスワードを知ることはできません。けれども、サイトの管理者のアカウントが乗っ取られると、多数のユーザーの個人情報が見られてしまう可能性があります。

クレジットカード情報については、サイトとは別のサーバーに置くことを定めたガイドラインがあるので、それに従っていれば、管理者のアカウントを乗っ取られても、見られることはありません。ただ、必ずしもすべての管理者が従っているとは限りません。