「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表
リスト型アカウントハッキングとか,パスワードリスト攻撃とか,いくつかの呼び名で示されるこの攻撃,要は「どっかから漏れだしたIDとパスワードの組を大量に持っていて,それ使って不正ログインを試行するという攻撃と理解している.
この攻撃,落ち着いて考えると実は「?」となるような不可解な点がいくつかある.
- はじまりはどこのリストなのか
まぁ,これはどこかから漏れだしたリスト,としかいいようがないが,基本的にIDとしてよく使われる「メールアドレス」と「パスワード」の組が一覧になっている,と思えばいいだろう.
- ログインするだけで何が面白いのか
よく報道で見られるのが
-
- 何万件試行され,何件成功した
- ユーザ情報を閲覧された可能性がある
というような内容だが,攻撃自体は機械的に行われていると推測できる.この攻撃が成功した場合,ユーザ情報が閲覧される可能性というのは当然あるわけだが,「閲覧される=攻撃者の手元に当該情報が渡る」,ということを当然意味する.
- そもそも攻撃者は何をしようとしているのか
個別の事象だけを見ていると,正直さっぱりわからない.しかし,複数の事象を合わせてみているといくつかの仮説を思いつくようになる.以降,その仮説を少し書いてみよう.