リスト型攻撃

他人に成りすましてポイントなどを利用し、家電量販店などで商品を騙し取ったという事件がありました。
容疑者は20代半ばのようです。
詐欺と不正アクセス禁止法違反容疑で逮捕されました。

ひとまず容疑者が逮捕されたというのは、前向きにとらえるべきことだと思いますが、そもそもどのような手口なのでしょうか。
結論から言うと、「リスト型攻撃」と呼ばれるもののようです。

「リスト型」と呼ばれるからには何かのリストがあるわけですが、一昔前はリストといっても0~9、a~zといった文字を1つずつ当てはめていくといった総当り攻撃でした。ダイヤル式の南京錠などの番号を1つずつずらして、開錠する手法に似ています。
それから、パスワードなどに使われそうな単語などを予め辞書として用意しておき、その辞書を当てはめていく辞書攻撃と呼ばれるものもありました。

いずれの方法も、「数を打てば当たる」というものですので、何度もログインを試みる必要があります。
この対策として、複数回ログインを失敗すると、ログイン自体ができなくなるという対策がとられ、現在ではほとんどこのようなシステムになっているのではないでしょうか。

今回の「リスト型攻撃」はこれらのものとは異なります。
オンラインサービスなどにログインする際には、IDとパスワードが必要になりますが、このIDとパスワードが「リスト」になっています。
つまり、鍵は手元にあるけれど、何処の鍵かわからない。という状態です。

そのため、リストを元に手当たり次第オンラインサービスなどでログインを試みる。というのが今回の「リスト型攻撃」です。
辞書攻撃などと区別するため、「アカウントリスト攻撃」「パスワードリスト攻撃」と呼ばれることもあるようです。

犯罪者からしてみれば、1ID当たりの試行回数が少なく、成功率が高いということになります。
ここで問題なのは、既にIDやパスワードが盗まれるなどして、流出してしまっている点です。
複数のオンラインサービスのIDやパスワードを同一のものにしていることもあるらしく、このような場合、犯罪者からしてみれば、マスターキーを手に入れたようなものです。

このようなリスクを避けるため、IDやパスワードの管理を徹底することはもちろんですが、同一のもの使用しないというのも強く推奨されています。
IDやパスワードが流出してしまうのはユーザー側の管理の問題で、オンラインサービスの運営側の問題はないかといえば、そうとも言い切れない部分もありそうです。

今回の事件でも、「リスト型攻撃」が4日連続で計約47万回あったそうです。
試行回数が少ないといっても、それなりの痕跡があるのだと思います。
不正ログインの試行にいち早く気づけるようにするための対策が必要で、例えば、同一アクセス元からの複数IDへのログイン試行を警告できる仕組みを作るなど、できる対策はあるようです。

いずれにしても、私達いちユーザーのできることといえば、セキュリティ面を含めた管理の徹底と同一のIDやパスワードは使用しないといったことになるのだと思います。