ここ数年で巨大なデータを一挙に盗み出すサイバー攻撃が多発し、数百万件に及ぶ個人情報が一度に盗み出されることも珍しくはない。セキュリティ企業の「Shape Security」は直近のレポートで、「credential stuffing(パスワードリスト型攻撃)」と呼ばれる攻撃手法について解説した。
Credential stuffingというのは、専用のロボットを用いたハッキング手法で、入手したログイン情報を一挙にデータベースに流し込んで特定のサイトを攻撃するものだ。手に入れたデータが多ければ多いほど、不正ログインに成功する確立が高くなる。
これらの攻撃は一般の人々が想像するよりも頻繁に起きている。Shape Securityのデータでは、Eコマースサイトへのログインの試みの約90%は実際のアカウントの持ち主のものではなく、ハッカーによるものだという。つまり、アクセスの大半をcredential stuffing攻撃が占めているというのだ。
また、攻撃対象はEコマースサイトに限らない。2番目にcredential stuffing攻撃の対象となっているのは航空会社のサイトで、ログインの試行回数の60%を占めているという。3番目はオンラインバンキングで58%、4位がホテルのサイトで44%となっている。
ハッカーがこれらのサイトを好むのには理由がある。彼らはここから決済に用いられたカード情報を盗み出し、不正な決済利用を行なおうとしているのだ。
Shape Securityによると、credential stuffing攻撃の成功確率は3%に達しているという。さほど大きな数字には思えないかもしれないが、100万回あたり3万件の不正ログインに成功していることになる。ここから得られる教訓は、パスワードの複雑性をあげることがいかに重要であるかだ。複数のサイトで同じパスワードを用いることは、絶対に避けなければならない。