私たちの個人情報は危機にある!?ログイン情報を守るために攻撃手法と防衛策を知ることから始めよう

前回は、クリックジャックングという手法について見てきました。これは知っていないと、思いもしないような攻撃かも知れません。自分の情報は自分で守るのが鉄則ですので、サイバー攻撃の知識もつけていきましょう。

今回は、とても重要な私たちの情報を盗もうとする攻撃者たちの攻撃手法をいくつか見ていきます。とても身近な手法も多いため、お読みいただいた皆様には、今以上にサイバー攻撃への注意や関心が深まると嬉しいです。

目次

意外と注意できていない、ログイン情報管理とは?

私たちは普段から多くのサービスにログインして利用しています。仕事であれば、Google WorkspaceやMicrosoft 365などのオフィス系サービス、会計や勤怠、顧客情報管理、営業管理ツール、名刺管理ツール、メールなど書ききれないほどあります。仕事以外でも、チャットツールやSNS、オンラインショッピング、動画サービス、オンラインバンキングなど非常に多岐にわたります。

ログインをする際には、IDやメールアドレスとパスワードを必要とするため、安全にログインをしてサービスを利用していると思っている人も多いです。しかし、本当に安全でしょうか。

いくつかログイン情報が盗まれる可能性のある手法を見ていきます。

一般的な攻撃

まずは、一般的な攻撃です。聞いたことがある攻撃もあるはずです。

1つ目は「パスワード推測攻撃」です。これは、ログインIDを固定し、パスワードを個人の誕生日や関係するものから推測してログインを試みるものです。「推測でログインできるのか?」と疑ってしまうかも知れませんが未だに被害は発生しています。

2つ目は、「辞書攻撃」です。これは推測ではなくパスワードをよくあるパターンの文字列(「password」「12345」など)で決め打ちしてログインを試みるものです。皆様の中でこのような誰にでも推測されるパスワードにしている方はいませんでしょうか。

3つ目は、「パスワードリスト攻撃」です。世の中の脆弱なサービスから攻撃者がログインIDとパスワードを盗み出し、リストとして取引がされます。そのリストを購入した攻撃者が、別のサービスなどで同じ内容でログインを試みて認証を突破するというものです。パスワード使い回しを狙った攻撃です。

知っておくべき攻撃

次に、知っておくべき攻撃として2つあります。

1つ目は、「中継型フィッシング攻撃」です。利用者がログインをする際に、攻撃者が偽物のログイン画面を表示させて情報を抜き取るというものです。

2つ目は、「多要素認証疲労攻撃」です。多要素認証が設定されていれば、攻撃者からの直接的なログインは防ぐことができます。その際に、サービス側から「ログインが試みられましたが本人ですか?」のようなメール等メッセージが届くことがあります。攻撃者が何度もログインを繰り返すことでこのメッセージが大量に届くことになり、間違って「はい」を押してしまうと、サービス側では本人が認証したと判断されて攻撃者がログインできてしまうというものです。

よく考えると恐ろしい攻撃です。

私たちはどのように自分の情報を守るべきか?

それでは、私たちはこれらの攻撃に対してどのように自分の身を守っていくべきでしょうか。今回は基本的な3つの対策を取り上げます。

1つ目は、2段階認証です。例えばなにかのサービスでログインをする場合IDやメールアドレスとパスワードを入力しますが、その後に別の手法でもう1度認証が必要となります。例えばメールで「ここのリンクからログインしてください」というものや、SMSや他のアプリケーション側で「認証しますか? はい/いいえ」のようなメッセージが表示されるようなイメージです。フィッシング攻撃の対策としては不十分なことがありますが一番実施しやすい方法です。

2つ目は、パスワード管理ツールを使うことです。1Passwoedが有名ですが、パスワード管理ツールでのセキュリティ保護によって安全性を担保しているものです。

3つ目は、パスキーです。まだ馴染みがないかも知れませんが、パスワードレス認証の手法としてユーザー側の利便性を高めてセキュリティを担保する方法として活用が進んでいます。生体認証やQRコード認証で認証することで、安全にログインができるようになります。

実はiPhoneなどスマートフォンでも始まっています。

参考:iPhoneでパスキーを使ってアプリやWebサイトにサインインする

参考:徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは

今回のセキュリティ知識を詳しく知りたい場合は、徳丸本と徳丸試験がおすすめ

セキュリティの問題はサイトやサービス運営側も利用側も必要な知識です。

そんな、Webセキュリティ関連の知識については、徳丸本を学ぶとよいです。得丸本は、Webセキュリティに関する基本知識が網羅されています。セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。

そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、ぜひチャレンジしてみてください。

【徳丸本】

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践

徳丸浩のWebセキュリティ教室

【徳丸試験】

ウェブ・セキュリティ基礎試験(徳丸基礎試験)

ウェブ・セキュリティ実務知識試験(徳丸実務試験)

この記事が気に入ったら
いいね または フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次