BLOG

ブログ
ブログ

パスワードリスト攻撃で40万件のアカウントが不正ログイン被害に
〜SMS認証の必要性〜

SMS認証の重要性

40万件のアカウントがパスワードリスト攻撃の被害に

2020年4月頭から5月下旬にかけて、カメラのキタムラネットショップが国外のIPアドレスから不正ログイン被害を受けていたことが明らかになった。約40万件のアカウントが被害に遭い、氏名、住所、生年月日、電話番号、メールアドレス等の個人情報を取得された可能性があるという。さらに、アカウントの一部では保有しているポイントを用いた不正注文が確認されたとのこと。

カメラのキタムラによると、同社でログインIDやパスワードが漏洩した痕跡はなく、別の場所で入手したメールアドレスやパスワードのリストを使った「パスワードリスト攻撃」の可能性が高いとされています。

 

パスワードリスト攻撃とは?

パスワードリスト攻撃とは、悪意のある第三者が何らかの手法で不正に手に入れたメールアドレスやパスワードのリストを使って、ウェブサービスに不正ログインするサイバー攻撃です。これは、多くの消費者が異なるサービスでメールアドレスとパスワードを使い回す習慣につけこんだ犯罪です。

不正ログインに成功したアカウントは個人情報を書き換えられ、登録されていたクレジットカードや保有しているポイントを不正利用される恐れがあります。クレジットカードやポイントを不正利用されても、犯人が登録されている連絡先を上書きしてしまっているので、利用通知が正規ユーザーに届きません。そのため、正規ユーザーはすぐに被害に気が付くことができません。

 

【パスワードリスト攻撃の流れ】

  1. 犯人が闇マーケットでパスワードリストを入手。
  2. リストにあるIDとパスワードを利用してサイトへのログインを試みる。
  3. 不正ログインに成功したIDの電話番号とメールアドレスを犯人のものに書き換える。
  4. 乗っ取ったIDのクレジットカードを不正に利用する。

 

85%以上のユーザーがパスワードを使い回している

2017年にトレンドマイクロ社がウェブサービスを利用している515名を対象に実施した調査結果によると、85.2%のユーザーが複数サイトでパスワードを使い回ししていることが判明しました。

85%のユーザーがパスワードを使い回している
パスワードを使い回している割合(出典:トレンドマイクロ)

前年と比較して、使い回しをしているユーザーは減少傾向にありますが、依然として使いまわしの割合が高く、パスワードリスト攻撃に遭うリスクの高い状況です。

パスワードリスト攻撃による不正ログインを防止するためには、ユーザーにパスワードの使い回しを控えるように注意喚起する他に二段階認証の一つであるSMS認証を導入する方法があります。

 

SMS認証とは

SMS認証は二段階認証の一つです。二段階認証とは、ログイン時にIDとパスワードの他に別の方法で本人確認を実施する認証方法です。ウェブブラウザにIDやパスワードを入力する行為を一段回目の認証とし、SMS、音声電話、メールで受け取った第二のパスワードをさらに入力する行為を二段階目の認証としています。この二段階目で利用するパスワードはワンタイムパスワードと呼ばれ、一度しか使用することができません。そのため、第二のパスワードが万が一漏れてしまっても既に利用済みもしくは時間が経過していれば無効なパスワードのため第三者は使うことができません。

SMS認証とは携帯電話のSMS(ショートメッセージ)にワンタイムパスワードを送るタイプの二段階認証です。日本の携帯電話普及率は180%のため、ほぼ確実にワンタイムパスワードをユーザーへ届けられます。

昨今パスワードリスト攻撃が増加していることから、多くのオンラインサービスがSMS認証を導入し、ユーザーへ二段階認証を設定するように呼びかけています。Epic Gamesが配信している人気ゲームFortnite(フォートナイト)は、二段階認証を有効化させたユーザーに特別なエモート(キャラクターがゲーム中に取れるポーズやアクション)をプレゼントするキャンペーンを実施し、セキュリティの強化だけではなくゲームを盛り上げることに成功しました。

 

CM.comのSMS認証API

SMS認証API

通常SMS認証を導入する際、SMS配信APIを使ってパスワード生成と認証を別途構築します。しかし、CM.comのSMS認証APIでは、SMS配信、パスワード生成、認証を一つのAPIで実現できます。そのため、開発の工数や時間を削減し、すぐにSMS認証を導入することが可能です。

また、CM.comは世界中の1000社以上の通信会社と連携しており、199ヶ国にSMSを配信できます。海外向けにサービスやアプリを開発、提供している、海外ユーザーがいるサービスを展開している企業様にも安心してご利用いただけます。

SMS認証の導入をご検討中の方はぜひお問い合わせください。

Aya Higuchi

Aya Higuchi

Digital Marketing Manager, CM.com