THE21 » キャリア » サイバー攻撃による個人情報流出が起こり続ける根本的理由とは?

サイバー攻撃による個人情報流出が起こり続ける根本的理由とは?

2020年05月22日 公開
2023年02月21日 更新

渡辺洋司(サイバーセキュリティクラウドCTO)

ECサイトなどのウェブサイトやスマホアプリがサイバー攻撃を受け、個人情報やクレジットカード情報などが盗み出される事件が後を絶たない。いったい、なぜ根絶できないのか? サイバー攻撃に詳しい〔株〕サイバーセキュリティクラウド取締役CTOの渡辺洋司氏に話を聞いた。

 

サイバー攻撃者はパスワードをダークウェブで売買している

 ――個人情報やクレジットカード情報が盗まれたサイバー攻撃事件が、近年もしばしば報道されています。攻撃者の目的は、やはり金銭でしょうか?

【渡辺】 攻撃者は様々な目的でサイバー攻撃をするのですが、個人情報やクレジットカード情報を盗む場合は、金銭的な利益を目的としていることが多いでしょう。他人のクレジットカードを使って高額な商品や換金性の高い商品を購入したり、盗み出した個人情報を売ったりするのです。

 他には、例えば、政治的なメッセージを発信するためにウェブサイトを改竄するサイバー攻撃や、怨恨や競合の妨害のためにサーバーをダウンさせるサイバー攻撃もあります。愉快犯によるものもありますし、外部のだけでなく、内部犯行のケースもあります。

 ――サイバー攻撃の方法にも、様々なタイプがあるようですね。

【渡辺】 攻撃者は目的のためにあらゆる方法を取ります。目的と方法が対応しているわけではありません。

 近年、報道されたサイバー攻撃を見ると、方法には大きく分けて2つのタイプがあります。パスワードリスト攻撃とシステムの脆弱性を突いた攻撃です。

 ――まず、パスワードリスト攻撃とは、どういうものでしょう?

【渡辺】 ECサイトなどの会員制のサイトに、他の誰かのID・パスワードでログインするものです。つまり、アカウントの乗っ取りですね。

 例えば、昨年、大手カード会社のアプリに対してパスワードリスト攻撃が行なわれ、最大1万6,000件以上の顧客IDに不正侵入される事件が起きています。

 ――攻撃者がどこかでパスワードを盗んでいる?

【渡辺】 まず、パスワードに使われやすい文字列を様々に組み合わせて、片っ端から試すんです。この攻撃を「辞書型」と呼んでいます。ランダムな文字列を総当たりで試すケースもあります。その中に正しいパスワードがあると、ログインできるわけです。

 正しいとわかったパスワードはリスト化されて、他のサイトの攻撃にも使われます。また、そのリストはダークウェブで売買されますから、それを買ってパスワードリスト攻撃をする攻撃者も多くいます。

 ――パスワードリスト攻撃の被害を防ぐためには、どうすればいいのでしょう?

【渡辺】 簡単なパスワードを使わないことや、複数のサイトで同じパスワードを使い回さないことですね。

 サイトの管理者にも、一定時間の間に何回もパスワードを間違えたら、そのアカウントを凍結するように設定したり、攻撃を仕掛けてきたIPアドレスをリスト化しておいて、そこからのアクセスではログインできないようにしたりと、対策できることはあります。

 とはいえ、複数のサイトで同じパスワードを使い回していて、そのパスワードがダークウェブで売買されていたら、攻撃者が1回アクセスするだけでログインできてしまうかもしれませんから、ユーザー個人がパスワードの管理に気をつけることが重要です。

 ――自分が使っているサイトで、他のユーザーのアカウントが乗っ取られたら、自分も被害に遭う可能性があるのでしょうか?

【渡辺】 単に、あるユーザーのアカウントを乗っ取ったからといって、他のユーザーのパスワードを知ることはできません。けれども、サイトの管理者のアカウントが乗っ取られると、多数のユーザーの個人情報が見られてしまう可能性があります。

 クレジットカード情報については、サイトとは別のサーバーに置くことを定めたガイドラインがあるので、それに従っていれば、管理者のアカウントを乗っ取られても、見られることはありません。ただ、必ずしもすべての管理者が従っているとは限りません。

 

次のページ
ニュースでよく聞く「脆弱性」とは? >

THE21 購入

2024年12月

THE21 2024年12月

発売日:2024年11月06日
価格(税込):780円

関連記事

編集部のおすすめ

東京五輪に残る不安 …ウイルスだけでない「サイバー攻撃の懸念」

園田道夫(独立行政法人情報処理推進機構専門委員)

東京五輪で予想される日本へのサイバー攻撃増加。自分の身を守るためには?

大野暉(サイバーセキュリティクラウド代表取締役)

東京五輪を狙うサイバー攻撃に、我々はどう備えるべきか?

鵜飼裕司(FFRI社長)