お役立ちコラム

よくわからない不正アクセス:リスト型攻撃の手口を解説。

リスト型攻撃の手口と事件の事例、簡易な対策を整理しました。

【事例】

JR東日本は2020年3月3日に、同社が運営するインターネット上で切符を予約できる「えきねっと」において3,729人のアカウントに不正ログインが行われたと発表しました。

【不正の手口】

リスト型攻撃。別サービスから流出したユーザーの認証情報を転用して、サービスへのログインを試みる手口。

【対策】

 ログインできる回数を制限する
 記号やアルファベットを含む8桁以上の強固なパスワードを設定する
 二段階認証や二要素認証を設定する
 不正アクセス検知システムを導入する
よくわからない場合は、専門家に相談して対策の優先順位をつけて対応しましょう。

【事例の詳細】
正体不明の人物が、事前に入手した別のサービスの認証情報を使用して、エキサイトニュースで「リスト型攻撃」を行ったと考えられます。フィッシングやその他の事例で漏えいしたユーザーの個人情報が再利用され、このような攻撃が行われることがあります。リスト型攻撃は、他の攻撃に比べてより効果的であるとされています。

【漏洩した可能性があるもの】
氏名、住所、電話番号、生年月日、メールアドレス、クレジットカード情報の一部(カード番号の下4桁、有効期限、ブランド名)、連携している交通系ICカードの番号

【漏洩の規模】

3,729件

※引用:JR東日本

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。