2019年7月に運送業大手のヤマト運輸は、自社が運営する宅急便利用者向けオンラインサービス「クロネコメンバーズ」のアカウントのうち、約3万件に対してパスワードリスト攻撃があったと発表しました。
以下では、この事件について、ならびオンラインサービス利用者が取りえる対策について考えてみたいと思います。
成功率11%:パスワードリスト攻撃の脅威
クロネコヤマトの発表によると、特定のIPアドレスからクロネコメンバーズへのログイン試行が約3万件行われ、そのうちの大半はクロネコメンバーズで実際に利用されていないパスワードが用いられていたことから、パスワードリスト攻撃と判断したとされています。
パスワードリスト攻撃により漏えいした情報は、クロネコメンバーズID、メールアドレス、利用の端末種別、氏名、住所、電話番号等で、個人を完全に特定できる情報が多数含まれていました。しかし、クレジットカード情報は下四桁しか漏えいしていなかったため、漏えいした情報を元に、攻撃者がすぐに金銭を得られた可能性は低いと考えられます。
ちなみにパスワードリスト攻撃とは、不正アクセスなどの手法で漏えいしたIDとパスワードの組み合わせを用いて、漏えい元とは関係ないオンラインサービスやSaaSサイトに対して、不正アクセスを試みる攻撃です。パスワードリスト攻撃自体は、古くから用いられている手法であるため、パスワードリスト攻撃があったこと自体は驚きではありません。
驚きだったのは、攻撃を受けた約3万件のアカウントのうち、攻撃が成功して情報が持ち去られたアカウントが3,467件もあったということです。割合でいうと、約11%が攻撃に成功しているという数字になります。わずか3万件の攻撃で、3,467件の不正アクセスに成功しているのは、かなり高い成功率と言えます。5年以上前に警視庁が発表した内容を元にした記事が日経ネットワークに掲載されていますが、パスワードリスト攻撃の成功率は5-6%とされていますので、その倍です。
5-6%から11%と幅はありますが、パスワードリストを利用した攻撃の成功率は極めて高いのが特徴です。なぜなら、パスワードの多くは使い回されているためです。
パスワード使い回し対策の限界
パスワードリスト攻撃を防ぐためには、パスワードの使い回しを防ぐのが最良の対策です。実際に、企業のITセキュリティポリシーなどで「不正アクセスを防ぐためにパスワードの使い回しを行わない」としている企業は多数あるかと思います。それでも、パスワードが使い回されているのは、「パスワードを使い回さないと、パスワードを複数覚えていられない」ためです。
業務で利用するシステムが10個あったとして、この10個に対して別々のパスワードを設定して記憶しておくのは至難の業です。強固なパスワードとするためには、辞書に載っている言葉や自分の名前、IDと同じ文字列などを含まないようなパスワードで、かつ最低文字数を上回るものを設定しなければなりません。覚えられる文字列は多くても、3つか4つ程度という方も多いのではないでしょうか。
これまで企業が行ってきたパスワード管理の流れは、「社内でシングルサインオンを実現する」というものでした。複数の社内システムにログインする場合、複数回パスワードを入れる手間を防ぐために、1つのパスワードで複数システムへのログイン(シングルサインオン)を可能としていました。Active Directoryなどのテクノロジーも、こうしたニーズに対応していました。
しかし、クラウド化の進展により、「業務で使用するサービスの大半が、SaaSベンダーなどにより社外のサーバーで管理されている」というケースも増えてきました。この場合は、社外のサーバーとなるため、Active Directoryの管理対象ではありません。よって、シングルサインオンも行えないという状況でした。
よって、社内に関してはActive Directoryでシングルサインオンし、社外のSaaSとなると「従業員が正しく管理せよ」と指示(事実上の放任)となっている企業も少なくありませんでした。
IDaaSでパスワードリスト攻撃を防ぐ
従業員のパスワード使い回しを防ぎ、パスワードリスト攻撃を防ぐためにはどうすればよいか。この対策として注目を集めているのが、IDaaS (クラウド型ID・パスワード管理サービス)です。
仕組みは極めてシンプルです。従業員がパスワードを作成・管理するかわりに、システム管理者が作成したパスワードを、従業員がIDaaSを通じて利用できるように登録しておく、というものです。
従業員は、IDaaSからログイン先を選ぶだけで、各システムのパスワードを知らなくてもログインできるため、パスワードを覚える必要がなくなり利便性が向上します。また、システム管理者からすると、各従業員がそれぞれのシステムで使うパスワードを、全く別々で複雑なものにすることができるため、パスワードリスト攻撃を完璧に防ぐことができます。
つまり、IDaaSによるパスワード管理は、従業員にとっても、システム管理者にとってもメリットがある対策となります。
クロネコメンバーズも対応する「トラスト・ログイン」でパスワードリスト攻撃対策を
企業の従業員が使うパスワードを集中管理できるIDaaSは、多くの会社から提供されていますが、外資系企業が多いため国内サービスへの対応が不十分なケースが多いです。日本企業である当社、GMOグローバルサインが提供するIDaaSである「トラスト・ログイン」は、日本で開発を行っている純国産サービスです。
日本のお客様が多く利用するサービスを順次登録・利用可能としていった結果、2019年10月現在、5400以上のサービス・アプリに対応済です。もちろん、「クロネコメンバーズ」も利用可能です。
トラスト・ログインで利用できるサービス・アプリは、当社サイトで全て検索可能ですので、ぜひお調べ頂き、必要なものが含まれているかお確かめいただき、ご評価いただければ幸いです。パスワードリスト攻撃を防ぐために、ぜひお役立てください。