問題
問95
ある Web サイトから ID とパスワードが漏えいし、その Web サイトの利用者が別の Web サイトで、パスワードリスト攻撃の被害に遭ってしまった。このとき、Web サイトで使用していたIDとパスワードに関する問題点と思われる記述はどれか。
- IDとパスワードを暗号化されていない通信を使ってやり取りしていた。
- 同じIDと同じパスワードを設定していた。
- 種類が少ない文字を組み合わせたパスワードを設定していた。
- 短いパスワードを設定していた。
[出典:ITパスポート試験 平成29年度春期 問95]
正解
正解は「イ」です。
解説
正解は「同じIDと同じパスワードを設定していた。」です。 パスワードリスト攻撃とは、他のWebサイトなどから漏洩したIDとパスワードの組み合わせを使い回し、別のWebサイトに不正ログインを試みるサイバー攻撃のことです。この攻撃は、利用者が複数のWebサイトで「同じIDとパスワード」を使い回している場合に成功します。
問題文では、あるWebサイトから情報が漏洩した後に、その利用者が「別のWebサイト」でパスワードリスト攻撃の被害に遭ったとあります。これは、漏洩したIDとパスワードが、被害を受けた別のWebサイトでもそのまま通用してしまったことを意味しています。したがって、利用者が複数のサイトで同じIDとパスワードを使い回していたことが、この被害の直接的な原因となります。
この状況は、例えば、あなたがいくつかの異なるお店の会員証を持っていて、それらの会員証全てに同じ暗証番号を使っていたとします。もし、そのうちの一つの会員証情報が盗まれてしまうと、盗んだ人はその暗証番号を使って、他のお店でも不正にあなたの会員サービスを利用できてしまうのと同じ原理です。パスワードリスト攻撃を防ぐためには、それぞれのWebサイトで異なる、できれば複雑なパスワードを設定することが非常に重要です。そうすることで、たとえ一つのサイトから情報が漏洩しても、他のサイトへの被害を防ぐことができます。
ア(IDとパスワードを暗号化されていない通信を使ってやり取りしていた。):
これは通信経路におけるセキュリティの問題であり、漏えいしたパスワードが別のサイトで利用されるパスワードリスト攻撃の直接的な原因ではありません。ただし、暗号化されていない通信自体は危険です。
ウ(種類が少ない文字を組み合わせたパスワードを設定していた。):
パスワードの複雑さは、総当たり攻撃などに対する耐性に関わりますが、すでに漏洩したパスワードを使い回すパスワードリスト攻撃とは直接関係ありません。
エ(短いパスワードを設定していた。):
ウと同様に、パスワードの長さは総当たり攻撃などに対する耐性に関わりますが、パスワードリスト攻撃の直接的な原因ではありません。
難易度
この問題は、情報セキュリティにおけるパスワードリスト攻撃の基本的な仕組みと、その原因となるユーザー側の行動を理解しているかを確認するものです。問題文を正確に読み解き、「別のWebサイトで被害に遭った」という点に着目できれば、パスワードの使い回しが原因であると判断しやすく、比較的解きやすい問題と言えるでしょう。情報セキュリティの基礎を学ぶ上で重要な知識の一つです。
用語補足
パスワードリスト攻撃:
他のWebサイトなどから不正に入手したIDとパスワードの組み合わせをリスト化し、そのリストを使って別のWebサイトにログインを試みるサイバー攻撃です。例えば、Aというお店のIDとパスワードが漏れてしまったときに、そのIDとパスワードをBという銀行のサイトでも試して、不正ログインしようとする攻撃のことです。
ID:
ユーザーを識別するための個人情報で、主にWebサイトやサービスにログインする際に使用されます。多くの場合、メールアドレスや自分で決めたユーザー名などがIDとして使われます。学校の出席番号や社員番号のようなもので、個人を特定するためのものです。
パスワード:
IDと組み合わせて利用される、ユーザー本人であることを証明するための秘密の文字列です。パスワードが他人に知られると、不正にログインされてしまう危険性があります。家の鍵のようなもので、ID(住所)とパスワード(鍵)が揃って初めて中に入れます。
暗号化:
データの内容を、特定のルールに従って読み取れない形に変換することです。これにより、万が一データが漏洩しても、内容が他人に知られることを防ぐことができます。例えば、秘密の手紙を誰も読めない記号に変換して送るようなイメージです。途中で盗み見られても、内容が分からないようにする技術です。
対策
この問題を解くためのポイントは、パスワードリスト攻撃が「使い回し」の脆弱性を狙う攻撃であることを正確に理解することです。一つのサイトでIDとパスワードが漏洩しても、他のサイトで同じ情報を使っていなければ、パスワードリスト攻撃の被害は防げます。対策としては、複数のWebサイトで同じIDやパスワードを使い回さないことが最も重要です。また、パスワードは長く複雑なものを設定し、二段階認証なども積極的に利用することで、セキュリティをより高めることができます。
