不正アクセスの主流って、リスト型なんですか？（7payや、それ以外について）

Question

ある記事に、次のようなことが書かれていました。

※※※
同社によると、7payの不正アクセスの原因は、あらかじめ入手したIDとパスワードを用いて不正アクセスをする「リスト型攻撃」の可能性が高いという。そのため、パスワードとIDの情報が第三者に取得されていたとしても、パスワードをリセットすることで、リスクを最小化できると考えたとのこと。
※※※

私は「不正アクセス」と聞くと、「全ての文字の組み合わせを、手当たり次第に試す」みたいなイメージがあるのですが、実際にはそんなこと無いのですか？
時間がかかるから、そういうことはしないのですか？

justinHeeHaa · Accepted Answer

パスワードの文字解析はツールがあって、そういうツールを使う事で短時間で相手のパスワードを知る事が出来るものがありますね。
7payの時は、中国人が7Payの脆弱性を知っていたようなので
７月１日に日本にやって来て、７月１日にアクセスしてもなかなか繋がらなかったのは
中国人がサイトに不正アクセスをしていたからとネット情報でありました。
IDやパスワードを管理しているサーバーに不正アクセスして情報を抜き取ったみたいですね。
こういう情報の流出って7payに関わらず、至る所で頻繁にニュースで流れたりしてますよね。
ID、パスワードを盗むことによって、色んなサイトにアクセス出来たり、あるいはネット銀行とか
クレジットカード情報とか、個人情報とかが盗めるのでハッカーはお金がもうかりそうな所を狙うのが仕事ですからね。
サーバーにアクセスするにもセキュリティが弱いと簡単に侵入されたりするので
サーバーにアクセスするにもIDやパスワードが必要だったりするわけだけど
そういうのも、解析ツールでアクセスできるようにしてしまうわけですね。
今は、第２のパスワードを使ってセキュリティを強固にしている所も多いので
それをしていない所が狙われたって事です。

artoo · Answer

成功している不正ログインだと、リスト型攻撃が多いと思います。

7Payについてはパスワードリセットに脆弱性があったので、それが主原因ではないかと言われていますが、リセットのためには登録メールアドレスと登録電話番号が必要です。このペアについては別のところで流出した物が使われたのでしょう。

> 「全ての文字の組み合わせを、手当たり次第に試す」

あるIDに対して、パスワードを変えながら試すというのは、普通は無理です。パスワード不一致時には一定時間待ちが入ったり、一定回数以上間違うと翌日まで出来なかったりします。そういう防御をしていない普通でないサイトだと出来るのでしょうが。
総当たりと言うことだと、パスワードをよくあるもの「12345678」とかに固定して、IDの方を総当たりにする攻撃もあります。これだと、上記の防御をくぐり抜けられますが、「同一IPからのログイン試行回数の上限」があったりするので、これも普通のちゃんとしたサイトだと無理です。
中小企業の通販サイトだと、こういう対策をしてないかも知れないので、そういうサイトを選んで攻撃するのでしょうか。しかしそういうサイトだとユーザーも少ないので、有効なIDを事前入手でもしないと、これまた時間が掛かります。

不正アクセスの主流って、リスト型なんですか？（7payや、それ以外について）

パスワードの文字解析はツールがあって、そういうツールを使う事で短時間で相手のパスワードを知る事が出来るものがありますね。

成功している不正ログインだと、リスト型攻撃が多いと思います。

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング