SNSでレイバンをお勧め!? “リスト型攻撃”とは



「レイバンのサングラスの80%の割引。今日限り2499円!」「UGG 日本代理直営店 人気のUGG激安通販!送料無料!」

SNSで見かけるこれらの文言は、アカウントの乗っ取りによって行われたスパム投稿だ。あなたの周りでも、アカウントが乗っ取られた…なんて話を聞いたことがあるのではないだろうか。

前述のRay-BanやUGG Australiaは、「スパム投稿に付いているリンク先は、当社直営店、公式サイトまたは正規取扱店(オンラインを含む)のものではありません」と公式に発表し、注意を呼び掛けている。もちろん、こうした詐欺サイトで商品を購入しないように注意はすべきだが、そもそもどのような経緯で自分のアカウントが乗っ取られてしまうのだろうか? ネットワークセキュリティに詳しい、トレンドマイクロ・シニアスペシャリストの森本純さんに聞いた。

「アカウントの乗っ取りについて、近年多い手口は『リスト型攻撃』と呼ばれるものです。現在は多くのウェブサイトでIDやパスワードを入力してアカウントを作成することが求められます。すべてのサイトのセキュリティが強固であればよいのですが、残念ながらセキュリティの弱いサイトもあり、ID・パスワードが漏れてしまうことも。セキュリティが脆弱なサイトから入手したID・パスワードをリスト化し、それを組み合わせることでアカウントへのログインを可能にする…それが『リスト型攻撃』です」

なぜ、リスト型攻撃が多くなったのだろう?

「以前は『辞書攻撃』と呼ばれる攻撃が主流でした。これは、パスワードによく使われる文言…たとえば『password』や『flower』などの言葉が何千何万も登録されているデータ(ハッカーにとっての“辞書”)を使う方法です。IDのメールアドレスが判明していれば、この辞書内の言葉でアカウント認証を試し、もしユーザーが安易に『パスワードによく使われる言葉』を設定してしまっていた場合、乗っ取られてしまいます」

たしかに、パスワード設定のときに「推測が容易な文言は使用しないように」「英数字を組み合わせてなるべく複雑なものを」と注意文が出るサイトも多い。

「そのような啓蒙活動が実を結び、辞書攻撃の成功率が低下。しかし、個人が複数のサイトのID・パスワードを持つ時代になり、パスワードの使いまわしが多くなってしまったことから、リスト型攻撃を試すハッカーも増え、実際に成功率も上がっていると推測されます」

では、リスト型攻撃に対して、個人でできる対策はあるのか。

「やはりパスワードの使いまわしをしないことです。同じパスワードを2つ以上のサイトで使用すると、リスト型攻撃の餌食になってしまいます」

しかし、たくさんのサイトからID・パスワードを要求されると、まったく違うパスワードを何個も管理するのは難しい。ただでさえ、辞書攻撃の対策のために「なるべく複雑なパスワード」を要求されている…。

「解決策として有効なのは、パスワード管理ツールを使うことです。月額百数十円ほどで、ID・パスワードを自動保存したり、安全性の高いパスワードを自動作成してくれたりするサービスもあります。こういったものを使うことで、『覚えられないからパスワードを使いまわす』という人が減り、ハッカーたちもリスト型攻撃を試さなくなるのでは」

先ほどの辞書攻撃の話も聞いていると、いたちごっこのような気もするが…。

「おっしゃる通り、私たちがパスワードの使いまわしをやめれば、ハッカーたちは別の成功率の高い方法を考えるでしょう。ハッカーたちも“遊び”でやっているわけではありません。友人のアカウントで詐欺サイトに誘導したほうが購入率が上がる、iTunesのプリペイドカードを購入してもらえるなど、金銭のために本気でアカウントの乗っ取りを画策するのです。『自分だけは大丈夫』などと思わず、きちんと最新手口の情報を集めて、これからもインターネット社会の便利さを享受していきましょう」

(田島里奈/ノオト)

【取材協力・関連リンク】
▼パスワードマネージャー – トレンドマイクロ
http://safe.trendmicro.jp/products/pwmgr.aspx
▼【重要なお知らせ】SNSスパム投稿・偽造品に関するお知らせ(Ray-Ban)
http://japan.ray-ban.com/contents/Social_Media_Scams.php
▼【重要なお知らせ】スパム投稿に関するご注意(UGG Australia)
http://www.ugg.com/jp/news/f14-spam.cgi

SNS アカウント スパム投稿 パスワード リスト型攻撃 レイバン 乗っ取り