リスト型アカウントハッキング攻撃(リスト型攻撃) ユニクロやコジマで

何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いて様々なサイトにログインを試みるという、リスト型アカウントハッキング攻撃(リスト型攻撃)の被害が増加中です。

コジマ

家電量販店のコジマは6月8日までに、通販サイトが不正アクセス被害を受けたと公表しました。一部の顧客アカウントに不正ログインがあり、会員23人のポイント計数十万円分が、本人に無断で商品購入に使われたとしています。

ファーストリテイリング

また、5月には、ユニクロを運営するファーストリテイリングも、ユニクロとGU(ジーユー)のネット通販サイトで不正アクセスがあったと発表しています。不正ログインされたアカウント数は46万件におよび、住所やメールアドレスなど個人情報の一部が流出した可能性があるとのこと。アカウントのパスワードは同日に無効化したということです。

パスワードの使い回し

もう今から5年以上も前に、総務省が「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集) 」という資料を公表しています。サイト管理者などのインターネットサービスを提供する事業者が適切な対策を講じるように、事業者向けに出された資料です。

ただ、これを読んでみると、我々ユーザーにも大事な話がいくつも出てきます。最も重要なのが「パスワードの使い回し」問題。これ、読んでてドキッとしますよね。使い回しが行われているからこそ、あるサイトから流出したIDとパスワードで別のサイトをリスト型攻撃、、、で、ログイン出来ちゃうわけですから。

資料によると、ID・パスワードによるログインが必要となる Web サイトの利用について、一人あたり約 14 の Web サイトを利用しているんだそうです。利用者のうち約7割が 3 種類以下のパスワードを複数の Web サイトで使い回しをしていると。ん~、、、耳が痛い。リスト型攻撃は、このような現状を悪用したサイバー攻撃なんですね。

アナログに管理するか

14のサイト毎に、異なるID・パスワードを設定するってのはこりゃ大変です。そもそもそんなの覚えてられませんし。パソコンにID・パスワード一覧みたいなのを記録するってのも、まさに狙われそうです。最近の隠れたヒット商品で、パスワード管理帖というのがあるんですが、こういうアナログ的管理の方が安心かも。

ということで、100均(キャン★ドゥ)で買ってきました。が、しかし、あまりにコンパクトに作られ過ぎていて、老眼のkuniには厳し過ぎます。スマホのアプリやパソコン用のパスワードマネージャソフトなんてのもあるみたいなので、そちらを試してみようかと。。。しかし、こういうアプリやソフトもハッキングの対象にされそうだしなぁ。