ユーザーアカウントを守る為に
ユーザーアカウントを守る為に
2015年2月25日
ユーザーアカウントを守る為に
株式会社 一休 システム基盤・インフラチーム
リーダー
仙波 勲
近年、Webサイトを狙った「リスト型攻撃」が猛威を奮っている。実際に被害を受けたユーザー、企業も少なくない。 「リスト型攻撃」とは、悪意のある第三者が何らかの方法で入手した、あるサイトに登録されたユーザーIDとパスワードを組み合わせた一覧リストを用いて、Webサイトに対して不正にログイン試行を行うものである。
この攻撃の被害を広げない為には、ユーザー、各企業が共に意識を高める必要があると感じ、今回紹介させて頂こうと思う。
■企業が行うべき対策
「他サイトと同一のユーザーID、パスワードを使用しないで下さい。」という注意喚起をユーザーに行う事は重要だが、「リスト型攻撃」が有効な攻撃手段となっている以上、現実には「ユーザーはIDとパスワードを使い回すもの」と考えて対策を講じなければならない。ワンタイムパスワードや多段階認証の機能を用意する事は有効な対策手段であるが、どの様な機能やセキュリティ機器を用意しても、それで安心するのは危険である。
「攻撃を確実に検知し、素早く遮断する」という「運用」が最も重要だと私は考える。
攻撃を確実に検知する仕組みについては各企業の機密事項であろうから、敢えてここでは深く触れないでおくが、ネットワークレイヤーとアプリケーションレイヤー、それぞれで対策を講じる事が必要だと考える。
■ユーザーも情報を守る為に意識を高める
セキュリティの高いWebサイトを利用する際、「ログインが面倒、ユーザビリティが低い」と感じてしまうユーザーも少なくないであろう。しかし、ここで「自分のアカウントの価値」を考えて頂きたい。
「自分にとって価値の高い重要なアカウント」に対しては、多少面倒でも、ワンタイムパスワードや多段階認証の導入、信頼性の低いサイトや自分にとって価値の低いアカウントと同じユーザーID、パスワードを使用しないという意識を持つ事が重要だと私は考える。
例えば、いつも利用するECサイトのアカウント(氏名、住所、クレジットカード情報や有効ポイントがある)と、あまり利用しないアンケートサイトやゲームサイト等のアカウント(ニックネーム、性別、年齢のみ)で、同一のユーザーID、パスワードを使用する事は避けた方が良いだろう。(もちろんアカウントの価値は人によって違うのであくまで例である。)
繰り返すが、「自分にとって価値の高い重要なアカウント」は多少面倒でも、より高いセキュリティでの利用をお勧めする。
■ISP、各企業の連携
ユーザーアカウントを保有している企業は、万が一どこかの企業で情報漏洩が起きた際、そのリストが使用され、他企業にも被害が及ぶ可能性があるという事を認識しなければならない。
特にユーザーアカウントを大量保有している企業が被害を受けた際、芋づる式に被害を拡大させない為にも、警戒を怠ってはならない。
また、攻撃を検知した際、その攻撃元のISPへの連絡も行った方が良いと考える。これはISP契約者の機器が脆弱性を突かれ、契約者の知らぬ間に乗っ取られている事も考えられる為、ISP側で該当する契約者への連絡と対応を実施する事で被害の拡大を食い止める事も重要である。
ユーザーアカウントを守る為に、各企業のセキュリティ対策とセキュリティ協力、利用者のセキュリティ意識の向上は必要不可欠であると考える。
情報が漏洩して喜ぶのは悪意のある第三者だけなのだから。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。