KDDIサイバー攻撃で浮き彫りになったメール基盤の脆弱性とパスワードリスト攻撃の脅威
KDDI攻撃で露呈したメール基盤の脆弱性とパスワードリスト攻撃の脅威

狙われたのはメール基盤の入り口

KDDIへのサイバー攻撃で、メールアドレスとパスワードの漏洩が確認された。神戸大学名誉教授の森井昌克氏は、この事件の本質はKDDIそのものやISP事業者ではなく、利用者のメール基盤にあると指摘する。メールシステムは外部からアクセス可能な管理画面やWebメールを備えており、そこに未知の脆弱性(ゼロデイ攻撃)が存在した場合、攻撃者は内部に侵入できる。大規模システムはオープンソースソフトウェアや他社製品を多数含むため、脆弱性管理が難しく、今回の事件はその課題を浮き彫りにした。

パスワード保存形式が鍵

最も懸念されるのは漏洩したパスワードの保存形式だ。KDDIは平文保存か否かを明言していない。仮に平文で保存されていた場合、攻撃者はメールアカウントに本人になりすましてログインし、詐欺メールの送信、メールボックス内の情報閲覧、各種サービスのパスワード再設定メールの受信などが可能になる。このため、対象ISP各社は利用者に速やかなパスワード変更を求め、一定期間内に変更しない場合はアカウントを一時停止する措置を取る事業者もある。二次被害防止の重要性が高いことを示している。

パスワードリスト攻撃の現実

メールアカウントの悪用だけでなく、現在最も警戒すべきは「パスワードリスト攻撃」である。漏洩したメールアドレスとパスワードの組み合わせを、Amazon、楽天市場、ネット銀行、SNSなど他のサービスに自動入力する攻撃だ。多くの人が複数サービスで同じパスワードを使い回すため、1つのサービスからの漏洩が他サービスの不正アクセスにつながる。2019年のUNIQLO・GUへの不正ログイン事件では約46万件のアカウントが被害に遭い、業界推定の総アカウント数約2000万人の約2%が他サービスとパスワードを使い回していた計算になる。

Pickt横長バナー — Telegram用の共同買い物リストアプリ

情報漏洩は終わりではなく始まり

森井氏は「情報漏洩は終わりではなく始まりである」と警告する。漏洩した認証情報はすぐに悪用されるわけではなく、攻撃者がデータを蓄積し、後日大規模な攻撃に使う可能性がある。利用者は直ちにパスワードを変更し、他のサービスと使い回さないようにする必要がある。また、二段階認証の導入も有効な対策だ。KDDI事件は、現代のソフトウェア開発と利用者のセキュリティ意識の両方に課題を突きつけている。

Pickt記事後バナー — 家族イラスト付きの共同買い物リストアプリ