wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表

Security

リスト型アカウントハッキングとか,パスワードリスト攻撃とか,いくつかの呼び名で示されるこの攻撃,要は「どっかから漏れだしたIDとパスワードの組を大量に持っていて,それ使って不正ログインを試行するという攻撃と理解している.

この攻撃,落ち着いて考えると実は「?」となるような不可解な点がいくつかある.

  • はじまりはどこのリストなのか

まぁ,これはどこかから漏れだしたリスト,としかいいようがないが,基本的にIDとしてよく使われる「メールアドレス」と「パスワード」の組が一覧になっている,と思えばいいだろう.

  • ログインするだけで何が面白いのか

よく報道で見られるのが

    • 何万件試行され,何件成功した
    • ユーザ情報を閲覧された可能性がある

というような内容だが,攻撃自体は機械的に行われていると推測できる.この攻撃が成功した場合,ユーザ情報が閲覧される可能性というのは当然あるわけだが,「閲覧される=攻撃者の手元に当該情報が渡る」,ということを当然意味する.

  • そもそも攻撃者は何をしようとしているのか

個別の事象だけを見ていると,正直さっぱりわからない.しかし,複数の事象を合わせてみているといくつかの仮説を思いつくようになる.以降,その仮説を少し書いてみよう.

リスト型アカウントハッキング攻撃の意図はどこにあるのか

Security

昨今の攻撃を見ていると,リスト型アカウントハッキング攻撃の意図は金銭にあるのではないか?というのは真っ先に思いつく.
問題は,攻撃者は金銭をどうやって得るか?というところなのだが….

基本,リスト型アカウントハッキング攻撃で入手可能な情報は,それ単体ではあまり換金性は高くないという認識を持っている.但し,リスト型アカウントハッキング攻撃を用いて入手した情報を,さらに換金性の高いサービス攻略に使うとなると話は別だ.

次に思いつくのは,「次の攻撃実施に備えた準備行動」という点である.
機械的に情報を収集して,その情報の集合をビッグデータに見立てて分析・何らかの法則性なり規則性なり傾向を見出す,というのは考えられる.一定の傾向を保有するユーザについて,ガードが甘く金持ちとかいう情報が導き出された場合,ある意味カモリストが出来上がる,というわけだ.

そして最後に思いつくのは「攻撃用アカウントリストの精度向上」である.
例えは悪いが,大量のアカウントとパスワードの組を使ってログイン試行を行うのは,ピンポンダッシュを大量に行うのと似た感覚である.ところが,このログイン試行を多くのサービスで実施すると,ユーザとパスワードの結びつきがどこまであるか(どこまでパスワードが使いまわされているか)を見出すことが可能になる.

もし「よくあるパスワード」がわかれば,それを使えば攻撃の成功率が向上するという結果になるし,「よくあるパスワードの付け方」が,取得した情報からわかれば,それは攻撃者が道具として使えるものが増える結果になる.

手っ取り早いのは「Google,Yahoo,TwitterAdobe IDで検証済みのIDとパスワードを5万組」とかいう売り方は十分ありうるとオレは感じたし,「IDとパスワードの使い回しはやめよう」ということはよく言われているものの,それを我が身のことと思ってくれる人はそもそもそんなことはしていない.本当に対処が必要なのは,そういう人なのではないか?とも感じている.

リスト型アカウントハッキングに対抗するための方策私案

Security

すでにパスワードでユーザを認証する,ということが崩壊してるわけで,いかに安価に実装できるからといって,それが今のまま進むというのはいささか甘い.また,指紋認証とか生体認証は,リスト型アカウントハッキングに一定の効果があると感じているが,これまたコストがかかる.

効果ありとされているのはワンタイムパスワードだが,誰が言い出したか「メールで一時パスワードを払い出す」という方法は,メールが確実にPC以外のデバイスに届く(PCには届かない)ということを担保できないと,正直なところ不安材料にしかならない.OTPトークンは(キー入力を片っ端から乗っ取るようなマルウェアを使われない限りは)効果ありそうだが,サービスごとに1つってのが気に入らない.

そこで,「誰のための認証なのか?」という根源的なところに立ち戻るわけだが,「本来サービスを受けたい人の責任で,IDとパスワードの管理をしている」という状態なので,OTPもサービスとユーザに紐付くのではなく,ユーザのみに紐付くようにして,当該トークンを他のサービスでも使えるようにする,というようにはできないだろうか?

正直,物理的な鍵の管理も面倒なのに,それにくわえてサービスごとに1つのOTPトークンを管理するなんぞオレはやりたくない.少々高くてもいいから,複数のサービスで使えるOTPトークンがあると,それだけでだいぶ対処の自由度が増えると感じている.

とはいえ,そんな世の中が来るのはまだ先だろうからw,当面は総務省さんから出た資料を見て,ユーザはユーザ側でできることを考えていく,というのが今のところの落とし所だろう.

…疲れた…寝る…