東京都府中市に本社を置くサンドラッグが運営する、ECサイト「サンドラッグ e-shop本店」や、クーポンなどを配信する「サンドラッグお客様サイト」が不正アクセスを受けて、個人情報やクレジットカード情報など1万9000件余りが流出した、という報道がなされました。
今回の不正アクセスに使われた方法は「リスト型攻撃」と呼ばれる方法とのことです。
この「リスト型攻撃」について、説明を読んでもよくわからないから実際どうすればいいの??と思っていらっしゃる方も多いと思います。
今回は、この「リスト型攻撃」について改めて確認するとともに、情報を管理する側・利用者側それぞれの目線で「リスト型攻撃」をどうすれば防ぐことができるのか確認していきましょう!
利用者側でリスト型攻撃による個人情報流出はどう防ぐ?
では、どのようにすればリスト型攻撃による個人情報流出を防ぐことができるのでしょうか?
利用者側でリスト型攻撃を防ぐ
まずは、私たちのような利用者側の目線で、リスト型攻撃による個人情報流出被害に逢うのを防ぐ方法を見てみましょう。
そもそも、リスト型攻撃は、何らかの理由で流出したサイトのユーザーアカウントとパスワードの組み合わせをリスト化して、それを別のサイトで1つずつ試していくというやり方になります。
であれば、利用者側でリスト型攻撃による個人情報流出被害に逢わないようにするためにすることは、「各サービス・サイトごとに違う複雑なパスワードを設定する」ことが一番の対策になります。
パスワードを複雑にする方法とは?
では、リスト型攻撃の対策として、自分自身で複雑なパスワードを設定することができるでしょうか?
おそらくできないと思います。
きっと、たまに記号(%など)が入っていたりするけど、実際は規則性あるものになってしまっていたり、数字が1つずつ増えていく…というパスワードにしかならないと思います。
それは、どうしても自分で覚えて管理しておきたいという意識が働くからです。
では、どうすればパスワードを複雑に決められるのでしょうか?
一番簡単なのは、ランダムでパスワードを生成してくれるサイトやアプリを使うことです。
大文字・小文字・数字・記号を使う、桁数を指定するなど細かく設定ができるものもあります。ここではご紹介はしませんが、皆さんもいろいろ調べてみて、試してみてください。
この方法であれば、人の意識が働かずに複雑なパスワードが生成でき、リスト型攻撃による個人情報流出被害に逢う可能性は少なくなるかもしれません。
リスト型攻撃は防ぐことができるけどパスワード管理が…
しかし、各サービス・サイトでパスワードを変えて、かつ複雑なものに変えて、リスト型攻撃に備えたとしましょう。そのあとどのような影響があるでしょうか?
今の世の中、会員登録をして利用するサービス・サイトというのはかなりの数があります。
その1つ1つに違うパスワードを設定してしまうと、いざログインしようとしたときに「あっ、このサイトのパスワードってなんだったっけ??」となりますよね…
その場合は、パスワードを管理しておく「パスワードマネージャー」と呼ばれるパスワード管理ソフトを使うとよいでしょう。アンチウイルスソフト等に無料で添付されていたりしますよね。
ちなみに、筆者が使っている「マカフィー」のアンチウイルスソフトにはパスワードマネージャーがついていました。(未使用)
その他、パスワード管理ソフトで有名なのは「RoboForm」などですかね。
筆者はこの「RoboForm」を愛用しています。パソコンが複数台、スマホにも入れているので有料ライセンスで使っています。
参考にされてください。
サービス提供事業者側でリスト型攻撃による個人情報流出はどう防ぐ?
それでは、今度は利用される側(サービス提供事業者)でリスト型攻撃による個人情報流出を防ぐにはどのようにすればよいのでしょうか?
事業者側でリスト型攻撃を防ぐ方法 ①二段階認証
リスト型攻撃を防ぐ方法として、「二段階認証」と呼ばれる方法があります。
利用するサービス・サイトへユーザー名とパスワードでログインを試みた後、さらに認証を求めるやり方です。
たとえば、あらかじめ設定してある携帯電話の番号へ認証コードが記載されたSMS(ショートメッセージ)が送られて、そのコードを確認画面に入力しないとログインまで進まない、といった方法があります。
この方法ですと、仮にリスト型攻撃を受け、ユーザー名とパスワードでログインに成功したとしても、次の認証でコードが不明となるのでログインできなくなります。
皆さんが良くご存じのMicrosoft社の、「Microsoft365」というサービスがあるのですが、最近初期の状態で二段階認証がONになっているようです。
また、前述の「RoboForm」も、ログイン時には二段階認証が設定されています。
事業者側でリスト型攻撃を防ぐ方法 ②画像認証
リスト型攻撃を防ぐ方法で次にご紹介するのが、「画像認証」と呼ばれるものです。
皆さんも1度は見たことがあるかもしれませんが、例えば「信号が含まれる画像を選択してください」という認証や、画像の中に文字が書いてあって、それを入力させるなどといったものが「画像認証」と呼ばれるものです。
一般的にリスト型攻撃は、人の手で攻撃しているものではなく機械的にログイン試行を繰り返すと言われていますが、その場合ユーザー名とパスワードでログインに成功したとしても、画像認証への対応は機械ではできずログインができなくなります。
ちなみに、当ブログでも、管理画面にログインする際は画像認証を採用しています。
事業者側でリスト型攻撃を防ぐ方法 ③WAFの導入
リスト型攻撃を防ぐ方法でもう一つご紹介したいのは、「WAF」です。
WAFとは、「Web Application Firewall」の略です。
WAFについてはいろいろな方法があります。
ログインされるサーバーにエージェント(監視員)を導入して監視させる方法、サーバーへの経路を変更し(DNS変更)クラウド上のWAFを経由させて検知する方法などがあります。
この方法ですと、攻撃を受けると不正ログインの前にWAFで異常検知を出して対応ができます。
事業者側としては、いろいろな対策を組み合わせて、リスト型攻撃など悪意のある攻撃による個人情報流出を防ぐ必要があります。また、利用者側としても、パスワードの使いまわしを極力避けるなど、個人個人で対策が必要ですね。
コメント