サイバー攻撃による個人情報流出が起こり続ける根本的理由とは？

ECサイトなどのウェブサイトやスマホアプリがサイバー攻撃を受け、個人情報やクレジットカード情報などが盗み出される事件が後を絶たない。いったい、なぜ根絶できないのか？　サイバー攻撃に詳しい〔株〕サイバーセキュリティクラウド取締役CTOの渡辺洋司氏に話を聞いた。

サイバー攻撃者はパスワードをダークウェブで売買している

　――個人情報やクレジットカード情報が盗まれたサイバー攻撃事件が、近年もしばしば報道されています。攻撃者の目的は、やはり金銭でしょうか？

【渡辺】　攻撃者は様々な目的でサイバー攻撃をするのですが、個人情報やクレジットカード情報を盗む場合は、金銭的な利益を目的としていることが多いでしょう。他人のクレジットカードを使って高額な商品や換金性の高い商品を購入したり、盗み出した個人情報を売ったりするのです。

　他には、例えば、政治的なメッセージを発信するためにウェブサイトを改竄するサイバー攻撃や、怨恨や競合の妨害のためにサーバーをダウンさせるサイバー攻撃もあります。愉快犯によるものもありますし、外部のだけでなく、内部犯行のケースもあります。

　――サイバー攻撃の方法にも、様々なタイプがあるようですね。

【渡辺】　攻撃者は目的のためにあらゆる方法を取ります。目的と方法が対応しているわけではありません。

　近年、報道されたサイバー攻撃を見ると、方法には大きく分けて2つのタイプがあります。パスワードリスト攻撃とシステムの脆弱性を突いた攻撃です。

　――まず、パスワードリスト攻撃とは、どういうものでしょう？

【渡辺】　ECサイトなどの会員制のサイトに、他の誰かのID・パスワードでログインするものです。つまり、アカウントの乗っ取りですね。

　例えば、昨年、大手カード会社のアプリに対してパスワードリスト攻撃が行なわれ、最大1万6,000件以上の顧客IDに不正侵入される事件が起きています。

　――攻撃者がどこかでパスワードを盗んでいる？

【渡辺】　まず、パスワードに使われやすい文字列を様々に組み合わせて、片っ端から試すんです。この攻撃を「辞書型」と呼んでいます。ランダムな文字列を総当たりで試すケースもあります。その中に正しいパスワードがあると、ログインできるわけです。

　正しいとわかったパスワードはリスト化されて、他のサイトの攻撃にも使われます。また、そのリストはダークウェブで売買されますから、それを買ってパスワードリスト攻撃をする攻撃者も多くいます。

　――パスワードリスト攻撃の被害を防ぐためには、どうすればいいのでしょう？

【渡辺】　簡単なパスワードを使わないことや、複数のサイトで同じパスワードを使い回さないことですね。

　サイトの管理者にも、一定時間の間に何回もパスワードを間違えたら、そのアカウントを凍結するように設定したり、攻撃を仕掛けてきたIPアドレスをリスト化しておいて、そこからのアクセスではログインできないようにしたりと、対策できることはあります。

　とはいえ、複数のサイトで同じパスワードを使い回していて、そのパスワードがダークウェブで売買されていたら、攻撃者が1回アクセスするだけでログインできてしまうかもしれませんから、ユーザー個人がパスワードの管理に気をつけることが重要です。

　――自分が使っているサイトで、他のユーザーのアカウントが乗っ取られたら、自分も被害に遭う可能性があるのでしょうか？

【渡辺】　単に、あるユーザーのアカウントを乗っ取ったからといって、他のユーザーのパスワードを知ることはできません。けれども、サイトの管理者のアカウントが乗っ取られると、多数のユーザーの個人情報が見られてしまう可能性があります。

　クレジットカード情報については、サイトとは別のサーバーに置くことを定めたガイドラインがあるので、それに従っていれば、管理者のアカウントを乗っ取られても、見られることはありません。ただ、必ずしもすべての管理者が従っているとは限りません。