リスト型攻撃の手口や対策を弁護士が解説
先日、とあるドラッグストアのアプリにおいて他人のアカウントに不正にログインし、十店舗で他人が保有するポイントを使って商品を購入したなどとして、中国籍の男性が詐欺と不正アクセス禁止法違反の疑いで逮捕されたという報道がありました。
この件の不正ログインはリスト型攻撃によるものだったとされています。昨今、このように、ウェブサイトやアプリ等のオンラインサービスに対しリスト型攻撃で不正ログインをする事案が急増しています。
リスト型攻撃とは何なのか、どういう犯罪に該当し得るのか、リスト型攻撃の被害を受けないためにはどうすればよいのか、以下、弁護士が解説いたします。
リスト型攻撃とは
リスト型攻撃とは、不正に入手した、あるオンラインサービスについて実在するID・パスワードといったアカウント情報を利用して、他のオンラインサービスに不正ログインをしようとする不正アクセスの手口です。
リスト型攻撃による不正ログインの手口
リスト型攻撃は、複数のオンラインサービスにつき、同じIDやパスワードを使いまわす人が多く、そのような人の習性を悪用する手口です。
一つのオンラインサービスから流出したアカウント情報のリストを入手し、それを利用して他のオンラインサービスに不正ログインを試みるのです。
リスト型攻撃で該当する犯罪とは
リスト型攻撃により他人のアカウントに不正ログインする行為は、不正アクセス行為の禁止等に関する法律(以下、「不正アクセス禁止法」といいます。)第2条4項1号の「不正アクセス行為」に該当し、「何人も、不正アクセス行為をしてはならない。」と規定する同法第3条に違反します。
したがって、いわゆる不正アクセス罪として、3年以下の懲役又は100万円以下の罰金に処せられる可能性があります(不正アクセス禁止法第11条)。
なお、不正アクセス禁止法においては、不正アクセス行為に用いる目的で、他人のID・パスワードといった識別符号を取得したり、不正に取得された識別符号を保管したりすること自体も禁止しています(第4条、第6条)。
そのため、リスト型攻撃のために他人のアカウント情報を不正に取得し、それを保管すれば、実際の不正アクセス行為は未実行であったとしても、それぞれいわゆる不正取得罪、不正保管罪として、1年以下の懲役又は50万円以下の罰金に処せられる可能性があります(不正アクセス禁止法第12条1号、3号)。
リスト型攻撃により他人のアカウントに不正ログインし、さらに、そのアカウントに登録されたクレジットカード等の情報を利用してネットショッピングをすれば、電子計算機使用詐欺罪(刑法第246条の2)も成立する可能性があります。
また、本件のようにポイントカード機能のアプリに他人のアカウント情報を使ってログインし、実店舗でそれを店員に表示し、ポイントを使って買い物をすれば、詐欺罪(刑法第246条)に問われることになります。
リスト型攻撃の被害を受けないために
利用者からすれば、オンラインサービスごとに異なるIDやパスワードを設定してしまうと、覚えきれない、覚えるのが面倒、ということで、不正アクセス防止のため、自分の氏名や誕生日等は避け、絶対人には分かり得ないであろうパスワード等を設定しつつ、それを使い回している方も結構いるのではないでしょうか。
しかし、人に分かり得ないパスワード等を設定したとしても、あるオンラインサービスからそれがひとたび流出してしまうと、リスト型攻撃によって芋づる式に他の複数のオンラインサービスに不正ログインされ、大きな被害が発生し得るのです。
そして、大きな被害が発生したとしても、警察等の捜査機関がその不正ログイン者を特定できるとは限りません。また、仮に特定できたとしても被害者が多数かつ被害額が多額であることが考えられ、十分な被害弁償を受けられない可能性があります。
リスト型攻撃の被害を受けないようにするには、やはり、オンラインサービスごとに異なるIDやパスワードを設定することが重要になってきます。
最近では、複雑なパスワードを自動的に生成しつつ、スマートフォン本体にそれを記憶し、各サイト・アプリへログインするにあたっては顔認証等をクリアすればパスワードが自動入力されるという便利な機能も新機種のスマートフォンでは見られるので、そういったものを活用するのもよいでしょう。
また、そもそも流出を避けることも重要です。もちろん、オンラインサービスの運営会社側等から漏洩については、自分の力ではどうしようもないといえるかもしれません。
しかし、近頃横行しているフィッシング行為、すなわち、オンラインサービスの管理者になりすましてサイトを作成したり、電子メールを送ったりして他人に自分のIDやパスワードといったアカウント情報を入力させる行為に対しては、通常のログインの手順と異なる方法でのログインを求められていないか注意したり、怪しいと感じたメールについてはその感覚を大事にし、メール記載の指示に従う前に、そのようなメールを運営会社側から送ることがあるのか等問い合わせるのがよいでしょう。
なお、総務省は、リスト型攻撃への対応策として、サイト管理者に対して以下の対策をするようにも呼びかけています
参考: リスト型攻撃対策集について
今では多くのオンラインサービスで取り入れられている対策で、中には利用者として煩わしく思うものもあるかもしれませんが、リスト型攻撃を予防し、大きな被害が発生するのを未然に防ぐためのものと分かると、必要悪であることをご理解いただけるかと思います。
攻撃を予防するための対策
- ID・パスワードの使い回しをしないように利用者に注意喚起する。
- パスワードの有効期間を設定し、利用者に定期的に変更させる。
- パスワードの履歴を保存し、これまでに使用したパスワードへの変更を認めないようにする。
- ワンタイムパスワード等、ID・パスワード以外の認証要素を追加する。
- サイト管理者においてID・パスワードを暗号化して保存する等する。
- 長期間利用実績のない、いわゆる休眠アカウントについてはデータも含めて削除する仕様にする。
- 推測が容易なパスワードを設定できないようにする。
攻撃による被害の拡大を防ぐための対策
- 同一のIDに対して行って回数以上認証エラーが発生した際にアカウントを停止する仕様にする。
- 特定のIPアドレスから閾値以上のログイン要求が発生した際に、当該IPアドレスからの通信を遮断する。
- 通常ログインされているIPアドレスとは大きく異なるIPアドレスからログイン要求が発生した場合には、当該IPアドレスからの通信を遮断する。
- ログイン履歴を保存し、利用者がアカウントの利用実績を認識できるようにする。
まとめ
いかがでしたでしょうか。リスト型攻撃の特徴、IDやパスワードを複数のオンラインサービス間で使いまわすことの危険性をお分かりいただけたかと思います。オンラインサービスは便利である一方で、セキュリティ面をきちんと管理しなければ、容易に犯罪に悪用されかねません。これを機に、IDやパスワードの設定の仕方を見直すことを検討されてみてください。
