【ITニュース】リスト型アカウントハッキングと辞書/ブルートフォース攻撃
不正ログイン試行回数はなんと2,236,076回にも及びました。
『Amebaの約5万アカウントで不正ログイン – 8日間で試行回数は223万回超』
(2016年5月11日Security-Next記事より)
http://www.security-next.com/069746
Amebaブログを運営するサイバーエージェントによると、
第三者が4月29日20時27分からリスト型アカウントハッキングを行い
不正ログイン実施、利用者になりすまして登録情報などを閲覧しました。
試行回数は223万6076回、そのうちログインに成功したものは
5万905件とされています。
幸い改ざんの事実は確認されていませんが、既に不正ログインを
受けたIDに関しては利用者にパスワード再設定のお願い、問い合わせ
方法などの内容が記されたメールを個別に送っているということです。
Amebaでは今後も下記のようなパスワードの場合不正ログインの対象と
なる可能性が高いため、設定の変更をよびかけています。
・他社サービスと同一のログインID・パスワードの組み合わせを使用している
・パスワードに「ログインID」が含まれている
・パスワードが「同じ文字の連続」になっている
・パスワードが「生年月日」や「電話番号」になっている
・パスワードが「数字のみ」になっている
・パスワードが「password」などの単語のみ使われている
今回のAmebaの件だけでなく、ここ最近では
リスト型アカウントハッキングが猛威をふるっています。
リスト型アカウントハッキングとは別のサイトで漏洩したIDや
パスワードのリストを用いて攻撃対象のサイトでログインを試みる手法。
1IDあたりの不正ログイン試行回数が少ないものの、IDとパスワードが
紐付いているため成功率も高くなります。
ほかにも似たような手法として「辞書攻撃」や
「ブルートフォース攻撃」が上げられます。
辞書攻撃はパスワードを解読する攻撃手法の一つを意味します。
辞書にある単語を片端から入力して試すというもので、
コンピューターで自動処理をすれば短時間で行うことが可能です。
人間が思いつくパスワードはワンパターンなことが多く、
よく使われる文字列を辞書的に登録して攻撃に利用します。
小文字や大文字を混ぜたり数字も加えたりしてパスワードを割り出します。
ディクショナリアタックとも呼ばれていますね。
ブルートフォース攻撃は総当たり攻撃ともよばれており、
可能な組み合わせをすべて試すことを指します。
あらゆる数字や文字の組み合わせを試す攻撃。
ログインを目的としたパスワードの字数が長ければ
長いほど、成功するまでに時間がかかります。
近頃はWebサービスや銀行のATMなどログインに規定回数以上
失敗した場合はアクセスをブロックする場合も多いので
ブルートフォース攻撃はあまり有効とはいえません。
リスト型ハッキング攻撃は今後も増加することが予想されます。
同じパスワードは使いまわさないよう定期的に見直しをしていきましょう。
>> IT管理のアウトソーシングならシーティーエスにおまかせください
*****
弊社では、保守サービスやサポートに関する
facebookページを立ち上げています。
セキュリティの問題や脆弱性の情報を
毎日ピックアップして掲載しておりますので
よろしければお立ち寄りください。
ITサポート&サービス情報局【CTS】facebookページ
http://www.facebook.com/ITsupport.service
今週も「IT・保守サポートの日誌」をお読みいただき、
ありがとうございました。
シーティーエス株式会社 ブログ担当スタッフより
