有料会員登録 東洋経済オンラインとは
ビジネス

【KDDIへのサイバー攻撃】狙われたのはKDDIでもISP事業者でもない…「メールアドレスとパスワード漏洩」の本当の怖さ

11分で読める
KDDI高輪本社
第二報で「ゼロデイ攻撃」であることがわかった(写真:photographorn / PIXTA)
2/6 PAGES
3/6 PAGES
4/6 PAGES
5/6 PAGES

メール基盤には、もう1つ狙われやすい理由がある。利用者や管理者は、インターネット経由でメールを利用し、設定変更も行う。そのため、管理画面やWebメールなど、一部の機能は外部からアクセスできるよう設計されている。

もちろん、厳重な認証やアクセス制御が施されている。しかし、そこに未知の脆弱性が存在すれば、攻撃者はその入り口を利用して内部へ侵入する可能性がある。しかも、大規模システムは自社開発部分だけで構成されているわけではない。公開されているオープンソースソフトウェアや他社製品が数多く組み込まれているため、それらを含めた脆弱性管理は決して容易ではない。今回のKDDI事件は、こうした現代のソフトウェア開発が抱える課題も浮き彫りにした。

今回の事件で最も懸念されるのは、漏洩したパスワードの保存形式である。KDDIは、平文だったとも、そうではなかったとも明言していない。

しかし、仮に平文で保存されていたパスワードが漏洩していた場合、その影響は極めて深刻である。攻撃者は、そのメールアカウントへ本人になりすましてログインできる。さらに、そのメールアドレスから第三者へ詐欺メールを送り付けたり、メールボックス内の情報を閲覧したり、各種サービスのパスワード再設定メールを受け取ったりすることも可能になる。

このため、対象となったISP各社は利用者へ速やかなパスワード変更を求めている。中には、一定期間内に変更しない利用者について、アカウントを一時的に利用停止する措置を取る事業者もある。一見すると厳しい対応に思えるが、それだけ二次被害を防ぐ必要性が高いということである。

しかも、メールアカウントそのものが悪用されるだけでは終わらない。現在、最も警戒すべきなのは「パスワードリスト攻撃」である。

これは、漏洩したメールアドレスとパスワードの組み合わせを、そのままAmazon、楽天市場、ネット銀行、SNSなど他のサービスへ自動的に入力していく攻撃である。メールアドレスをログインIDとして利用するサービスは数多い。しかも、多くの人が複数のサービスで同じパスワードを使い回している。そのため、1つのサービスから漏洩した認証情報が、まったく別のサービスへの不正アクセスに利用されるのである。

2019年に発生したUNIQLO事件が示した現実

この攻撃の代表例が、19年に発生したUNIQLO・GUへの不正ログイン事件である。約46万件のアカウントが不正ログインの被害を受けた。当時、UNIQLOは総アカウント数を公表していないが、業界では約2000万人規模と推定されている。単純計算では、およそ2%前後の利用者が、他サービスと同じパスワードを使い回していたことになる。

6/6 PAGES

こちらの記事もおすすめ

あなたにおすすめ

ビジネス

人気記事 HOT

※過去1ヶ月以内に配信した記事の閲覧数