お役立ちコラム
よくわからない不正アクセス:リスト型攻撃の手口を解説。
リスト型攻撃の手口と事件の事例、簡易な対策を整理しました。
【事例】
JR東日本は2020年3月3日に、同社が運営するインターネット上で切符を予約できる「えきねっと」において3,729人のアカウントに不正ログインが行われたと発表しました。
【不正の手口】
リスト型攻撃。別サービスから流出したユーザーの認証情報を転用して、サービスへのログインを試みる手口。
【対策】
ログインできる回数を制限する
記号やアルファベットを含む8桁以上の強固なパスワードを設定する
二段階認証や二要素認証を設定する
不正アクセス検知システムを導入する
よくわからない場合は、専門家に相談して対策の優先順位をつけて対応しましょう。
【事例の詳細】
正体不明の人物が、事前に入手した別のサービスの認証情報を使用して、エキサイトニュースで「リスト型攻撃」を行ったと考えられます。フィッシングやその他の事例で漏えいしたユーザーの個人情報が再利用され、このような攻撃が行われることがあります。リスト型攻撃は、他の攻撃に比べてより効果的であるとされています。
【漏洩した可能性があるもの】
氏名、住所、電話番号、生年月日、メールアドレス、クレジットカード情報の一部(カード番号の下4桁、有効期限、ブランド名)、連携している交通系ICカードの番号
【漏洩の規模】
3,729件
※引用:JR東日本