リスト型攻撃の不正ログイン成功率は?


この記事の所要時間: 350秒 〜 450秒程度(2205文字)


最近、リスト型攻撃がはやっているようだ。
リスト型攻撃とは、他社サイトから流出したユーザーIDとパスワードを使って、網羅的に不正ログインを試みる攻撃のこと。複数のサイトで、同じユーザーIDとパスワードの組み合わせを使っている人が、この攻撃の被害者になる。この攻撃で不正ログインできる成功率はかなり低いと考えられるものの、下手な鉄砲も数撃ちゃ当たる。大量のリストがあれば、一定数の不正ログインに成功するだろう。
 
気になるのは不正ログインの成功率だが、これはケースによってバラバラなようだ。先日被害を受けた無印良品では、4,220,382件中20,957件のログイン成功で、約0.5%の成功率。一方、6月に被害を受けたニコニコ動画のケースでは、2,203,590件中219,926件のログインとなり、その成功率は10%近くに達している。他のケースでもその比率はまちまちであり、ケースによって不正ログイン成功率に大きな開きがあるのは確かだ(参考:「無印良品ネットストア」への不正ログインに関するご報告|良品計画「niconico」への不正ログインに関するご報告|ドワンゴ)。
 
成功率0.5%などという例を出すと、自分とは関係のない他人事のように思われるかも知れないが、リスト型攻撃の危険はかなり大きい。いくつものサイトで同じユーザーIDとパスワードの組み合わせを使っているなら、今すぐにでもこれらを変更した方がいい。無駄な厄介事に巻き込まれないためにも、素早い対処をオススメする。
 

credit: Ron Bennetts via FindCC

credit: Ron Bennetts via FindCC

 


ユーザー重複率、重複ユーザーのID・パスワード流用率が影響


では、不正ログインの成功率は、どのような数値の影響を受けるだろうか。
 
まず、被害の可能性の基礎となるのが、ユーザーIDとパスワードを流出したサイト(以下「流出サイト」)と、リスト型攻撃の被害を受けたサイト(以下「被害サイト」)のユーザー重複率だ。流出サイトと被害サイトがまったく異なる地域やジャンルのサイトなら、ユーザーの重複が少ないため不正ログインは成功し難くなる。例えば、英語だけしか使えないサイトから流出したユーザーIDとパスワードを使って日本語専用のサイトを攻撃しても、ユーザー重複率は低いだろう。一方、日本国内のショッピングサイトから流出したユーザー情報を使って、同じく日本国内の他のショッピングサイトを攻撃した場合、ユーザー重複率はかなり高くなると考えられる。
 
そして、流出サイトと被害サイトで共通するユーザーについてポイントなるのが、IDとパスワードの流用率だ。被害サイトユーザーのID・パスワード流用率が高ければ、当然ながら不正ログイン成功率は上昇する。ユーザーの重複で被害を受ける可能性があるユーザーのリストが決まり、その中でID・パスワードを流用している人たちが被害を受けることになるのだ。
 
ここまでの話を数式にして整理すると、

不正ログイン成功率 = ユーザー重複率 × 重複ユーザーのID・パスワード流用率

となることは、おわかりいただけるだろう。ケースによる不正ログイン成功率の差がどちらの比率の違いから生じているかはわからないが、これら二つの要素に分解できることは間違いない。
 


サイト毎にID・パスワードを変えて自己防衛を!


一般的な被害を考えるとここまでの説明になるが、個人レベルでは話がまったく違ってくる。一個人についても、不正ログインが成功するかどうかは上記の数式で考えられるが、自分だけのことなら流用率はコントロールが可能だからだ。今の世の中、いくつものサイトでユーザーとして重複することで、誰もが被害を受ける可能性があるユーザーリストには入るだろう。しかし、自身のID・パスワード流用率がゼロならば不正ログインの被害にはあわずに済むのだ。
 
今後、情報流出が更に増えれば、ユーザー重複率は限りなく上昇する。上では単純化するために流出サイトと被害サイトの関係を1対1で考えたが、実際には複数の流出サイトのデータで攻撃される可能性が高い。そうなると、どこかの流出サイトで重複すれば被害候補になってしまう。重複しないことによって難を逃れる可能性は、低くなるばかりだ。
 
このような事態を迎えたとき、ID・パスワードの流用をしていては被害の可能性が急激に高まってしまう。今のところ被害がないからといって、安心だと考えるのは軽率だ。少しの面倒でできる対処なのだから、サイト毎にパスワードを変えるという取り組みは理に適っている。
 
パスワードによるセキュリティ管理には限界があり、自己防衛しようと思ってもできないことも多い。しかし、だからといって何もしないのは危険なだけだ。そして、サイト毎にID・パスワードを変えることは、誰でもできる対処。パスワード関連のトラブルを完全に回避することはできなくても、やれることはやった方が少しは安全になる。脅威にさらされる確率を少しでも下げるため、ID・パスワードのサイト毎の変更をオススメする。

  1. コメントはまだありません。

  1. トラックバックはまだありません。

This blog is kept spam free by WP-SpamFree.