はじめに
墨蘭/情報セキュリティマネジメント副専門官「自分は大丈夫」と思っていませんか?実は今、パスワードリスト攻撃と呼ばれるサイバー攻撃によって、多くの人のアカウントが乗っ取られる被害が発生しています。この記事では、パスワードリスト攻撃の仕組みと、身を守るための対策をわかりやすく解説します。
パスワードリスト攻撃ってなに?
墨蘭/情報セキュリティマネジメント副専門官パスワードリスト攻撃とは、過去に流出したIDとパスワードの組み合わせを使って、さまざまなサービスに不正ログインを試みる攻撃手法です。
たとえば、あるショッピングサイトから顧客情報が漏れたとします。犯罪者はその情報を入手し、同じIDとパスワードを使って銀行やSNS、メールサービスなど別のサイトにログインできないか、次々と試していくのです。
なぜ被害が広がるのか
墨蘭/情報セキュリティマネジメント副専門官この攻撃が成功してしまう最大の理由は、多くの人が複数のサービスで同じパスワードを使い回しているからです。
「覚えるのが面倒だから」「いちいち変えるのが大変だから」という理由で、メールもSNSもネットバンキングも同じパスワードにしていませんか?もしその中の一つからパスワードが漏れてしまったら、他のすべてのアカウントが危険にさらされることになります。
実際の調査によると、約8割の人が何らかの形でパスワードを使い回しているというデータもあります。犯罪者はこの習慣を知っているからこそ、この攻撃を仕掛けてくるのです。
被害に遭うとどうなる?
墨蘭/情報セキュリティマネジメント副専門官パスワードリスト攻撃の被害は深刻です。具体的には以下のような被害が考えられます。
まず、SNSアカウントが乗っ取られると、あなたになりすまして友人に詐欺メッセージが送られることがあります。ネットバンキングに侵入されれば、預金を不正に送金されてしまうかもしれません。ショッピングサイトでは、勝手に高額な買い物をされる恐れがあります。さらに、メールアカウントを奪われると、他のサービスのパスワードリセットに悪用され、被害が連鎖的に広がってしまいます。
自分を守るための4つの対策
墨蘭/情報セキュリティマネジメント副専門官では、どうすれば被害を防げるのでしょうか。今日からできる対策を4つご紹介します。
第一に、パスワードの使い回しをやめることです。面倒でも、サービスごとに異なるパスワードを設定しましょう。すべてを覚える必要はありません。パスワード管理アプリを使えば、一つのマスターパスワードを覚えるだけで、すべてのパスワードを安全に管理できます。
第二に、二段階認証を設定することです。パスワードに加えて、スマートフォンに届く確認コードなどを入力する仕組みです。たとえパスワードが漏れても、この追加の認証があれば不正ログインを防げます。
第三に、推測されにくいパスワードを作ることです。誕生日や電話番号、「123456」「password」といった単純なものは避けてください。英大文字・小文字・数字・記号を組み合わせた12文字以上のパスワードが理想的です。
第四に、定期的にパスワード漏洩をチェックすることです。「Have I Been Pwned」などの無料サービスを使えば、自分のメールアドレスが過去の情報漏洩に含まれていないか確認できます。
おわりに
パスワードリスト攻撃は、私たちの「ちょっとした油断」につけ込む攻撃です。しかし、正しい知識と対策があれば、被害を防ぐことは十分に可能です。
墨蘭/情報セキュリティマネジメント副専門官今日この記事を読んだことをきっかけに、まずは一番大切なアカウントのパスワードを変更することから始めてみませんか?少しの手間が、あなたの大切な情報と資産を守ることにつながります。
コメント