パスワードの使いまわしリスク

セキュリティソフト提供企業による「パスワードの利用実態調査2023」が今夏発表されました。ID/パスワードでのログインが必要なWebサービスの利用者を対象にアンケート調査を実施。

アンケート回答からWebサービス利用者の80％以上が、複数のWebサービスでパスワードを使いまわしている実態が見えてきました。

他のサービスから流出したID/パスワードなどの認証情報を悪用、複数のWebサービスに同じID/パスワードを使いまわしている利用者を標的に不正ログインを行う「アカウントリスト攻撃」は長年用いられているサイバー犯罪手法の一つで対策は『Webサービス毎に異なるパスワードを設定する』こと。

しかしながら3年前の調査結果85.7％と比較して微減傾向は見られるものの、いまだ大半の利用者がパスワードを使いまわしておりむしろ危険性は高まっています。

ランサムウェア被害の温床に

発生要因として公表された10件の事例に注目するとVPNに代表されるネットワーク機器の脆弱性への攻撃、またはリスト型アカウントハッキング（アカウントリスト攻撃）などの認証突破のいずれかになっていました。

いづれにせよ攻撃者はインターネット側から内部ネットワークへアクセスするための接点に存在する弱点を利用しており、パスワード管理の甘さや油断が攻撃を受けるきっかけになっています。

情報漏洩にもつながる危険性

本年においても情報漏洩事例が多発。調査結果からも全国で毎月20件以上の被害が発生しています。これらの被害の中でも委託先や使用するサービスの事業者などが被害を受けることで、組織全体に影響が及んでいます。

たとえばネットワークサービスの侵害事例ですが、ネットワークサービス上でサービス利用者が接続するネットワーク機器に侵入され、利用者の通信内容から認証情報などが窃取され漏洩していました。これは言わばインターネット接続というインフラの中で発生する「中間者攻撃」。誰しもが被害に遭う可能性が高く、侵入を防ぐのは至難の業です。

ネット詐欺被害も続発

これも2020年以来拡大を続けています。フィッシングサイト等の詐欺サイトへの誘導件数は高止まりしており、広告から不正サイトへ誘導する事例が継続しています。不正広告はアダルトサイトや海賊版サイトなど、これまでも不審なサイトに表示されていました。昨年末以降ではリスティング広告や一般サイトであっても不正広告が表示される事例が相次いでいます。不正広告から誘導先として偽の警告が表示され、表示された電話番号に電話を掛けさせサポートを装った詐欺被害に遭うケースが頻発しています。

危険性を認識

弊社でインシデント対応支援を行った中にも不正広告経由の脆弱性攻撃を受けランサムウェアに感染したケースがありました。広告表示自体は必ずしも不正と断定出来ませんが、誘導先の中には不正なものが含まれていることを認識しておく必要があります。インターネットを利用時には必ず最新ブラウザに更新したうえで使用することと、不審な広告を無暗やたらにクリックしないことが求められます。