攻撃手法と対策/パスワードリスト攻撃
Last-modified: Thu, 27 Sep 2018 22:54:50 JST (2059d)
freeze
概要
すでに漏えいしているIDとパスワードのリストや、よく利用されているパスワードの辞書を利用してログインできないか試行を行う。
原因
- 簡単(辞書に登録されているよう)なパスワード
- IDとパスワードが漏えいしている
対策
- 簡単なパスワードの利用は避け、サイト毎に異なるパスワードを利用する(パスワードの使いまわしはしない)
人間が覚えられるパスワードの数はたかが知れているので、パスワード管理ツールを利用するのが現実的。ただし、パスワード管理ツールから漏えいする可能性もあり、その場合は無意味。
また、漏えいが確認された場合にパスワードを変更する、と言う考えもあるが、そもそも漏えいに気づかないケースの方が多いのではないだろうか。情報漏えい発生後、漏えいに気づくまでに要する時間は平均で197日と言うデータもあり、漏えいに気づいた時には手遅れ、と言う可能性も高い(ソース)。 - 多要素認証を利用する
根本的な対策の1つとして、IDとパスワードだけではログインできないようにする多要素認証が存在する。多要素認証を行えば、IDとパスワードが分かっても、他の要素に対応できなければログインできない。ただし、他の要素に対応した攻撃も存在する。
また、多要素認証を利用できないクラウドサービスも多い。 - アクセス元制限を行う
ログインできるIPアドレスを制限する。IPアドレスが一致していないとログインできない、と言う意味では多要素認証の特殊系と言っても良いかもしれない。 - ログインアラートを設定する
不正ログイン自身を防ぐことはできないが、「何かが起きている」ことを検知することはできる。
どこまで対策するべきか
個人
パスワード管理ツールを導入した上で、可能な限りパスワードは変更し、同一パスワードが無くなるようにする。また、多要素認証を利用できるサイトでは可能な限り利用する(特に金銭に関わるものや色々なことが出来てしまうもの)。
企業
有名なサービス(Office365等)を全社的に利用する場合、多要素認証かアクセス元制限のどちらかを行うのが必須と考えた方が良い。
多要素認証と同時にSSO用の基盤を導入しても良いが、社内で利用するクラウドサービス全てをSSO基盤に連携させようとすると、相当な覚悟とガバナンスが必要となるため注意。
多要素認証やアクセス元制限を行わない場合、ログインアラートや定期的にログインログのチェックは行った方が良い(これも利用できるクラウドサービスは限られるが)。