テクノロジー
eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策

テクノロジーカテゴリーの変更を依頼記事元:

blog.tokumaru.org

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

323usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策

323 users

blog.tokumaru.org

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント61件

注目コメント
新着コメント

itochanIDはメールアドレス。メールにログインするパスワードだけでも別でないと超ヤバイ。（普通、別にしてるとは思うけど）　そして「9以上のサイトから流出したIDとパスワード」

2013/04/10リンク

その他

tetzl銀行系とか、「前回のログイン時刻」でなく「前回のID入力時刻」の方がよりセキュアかなとふと思った

security

2013/04/10リンク

その他

maetesこの頻度で成功するのか。。。

2020/04/01リンク

その他

gorimaru7これらの表から、パスワードの試行回数は合計2821回、ログイン成功したIDは 779個ですから、成功率は約27.6%となります。４分の１を少し超える「打率」は、パスワードに対する攻撃としては驚異的です。

2013/04/18リンク

その他

masakanou>地味ですが、サイトの負荷などの監視も重要です。eBookJapanの場合も、攻撃に気づいたきっかけはサイトの負荷急増でした。加えて、パスワード試行回数や認証失敗の回数・率なども監視するとよいでしょう。

セキュリティ

2013/04/16リンク

その他

ebo-cパスワードリスト攻撃の打率は25%を越えるそうでこれは歴代ランキングを見ると掛布雅之らに匹敵する。在りし日の掛布が打つくらい不正ログインされるhttp://bis.npb.or.jp/history/ltb_avg.html

2013/04/14リンク

その他

honeybeほう。

2013/04/13リンク

その他

tailtame一度の入力で不正アクセスされたと言うデータ。一文字でも変えてりゃ安心なんだろうなぁ…。

2013/04/12リンク

その他

ilya2013年4月10日

2013/04/12リンク

その他

kuronama2404ちなみにパスワード管理サービスのLastPassでは登録情報の中に重複パスワード設定があると警告を出してくれる。

security

2013/04/12リンク

その他

otchy210メールアドレスを ID に使うところが多いから、Gmail のエイリアス使って、ID もサービスごとに変えておくとよりセキュア。

2013/04/12リンク

その他

naga_sawa サービスをまたいで共通のIDとパスワード使ってるとかなり危ない

2013/04/11リンク

その他

arakash パスワードリスト攻撃の話

セキュリティ

2013/04/11リンク

その他

brimley3うーむ。

不正アクセス

2013/04/11リンク

その他

kits「サイト毎に異なるパスワードをつけることで自衛」

security

2013/04/11リンク

その他

nrtm興味深い 'eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策 | 徳丸浩の日記'

2013/04/11リンク

その他

yusukemこれは2段階認証ぐらいしないと辛いな

2013/04/11リンク

その他

tmatsuuおそろしや。２段階認証を簡単に構築できるサーバ側のライブラリがあればいいんだけどね。もうあるかな。

2013/04/11リンク

その他

tsupoパスワードの試行回数は合計2821回、ログイン成功したIDは 779個ですから、成功率は約27.6%となります。４分の１を少し超える「打率」は、パスワードに対する攻撃としては驚異的

2013/04/10リンク

その他

kijtraそろそろパスワードの主流を文字列以外にする時代になってきたのかな…

2013/04/10リンク

その他

inulab現代のシモ・ヘイヘ

2013/04/10リンク

その他

amino_acid9パスワード使い回しのリスクが現実に

2013/04/10リンク

その他

magi00せめてサービスごとに別の単語をいつものパスワードにくっつける形にすると、この手の奴はある程度回避できるはず。

2013/04/10リンク

その他

stealthinuIDあたりのパスワード試行回数が少ないためそれではフィルタ出来ない。なので通常のログイン環境との違いで判別し怪しい場合には他のチェックに回すのが良いのではとのこと。

2013/04/10リンク

その他

ysynckeepassをdropboxで使っているが、これがベストと自信を持って人に勧めていいものなのか、ちょっとだけ不安。

2013/04/10リンク

その他

raitueBook Japanが受けた攻撃「当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手」してそれを総当りしたと。公表では攻撃されたアカウントの27.6%もヤラれている。

security

2013/04/10リンク

その他

kazutan711ID, パスワードの使いまわしによるリスク。

2013/04/10リンク

その他

h5y1m141英数字記号含めた8文字以上＆覚えやすいサイト別のパスワードを設定するための３つのTIPSとかそのうちどっかで取り上げてくれないかな

2013/04/10リンク

その他

beintro335eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策

2013/04/10リンク

その他

blueday「攻撃者が同一IDに対して最大9個のパスワードを試していることも興味深い...9以上のサイトから流出したIDとパスワードを組み合わせて攻撃に用いていると考えるのが自然」

2013/04/10リンク

その他

mumincacaoぱすわーど方式では管理の限界もあると思うけど，しすてむから強度のあるぱすを払い出すだけで任意のぱすわーどを設定できなくするっていうのもありな気がするのです（ーｘ【みかん

2013/04/10リンク

その他

src256郵貯ダイレクトの認証って良認証なのか。パスワードの入力のめんどくささがWebサービスの致命的な弱点じゃないかと思えてきた。

2013/04/10リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「eBook Japanの発表...」が注目されています。

気持ちをシェアしよう

ツイートする

eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策

eBook Japanに対する不正アクセスについて、詳細の発表があり、いわゆる「パスワードリスト攻撃」である...eBook Japanに対する不正アクセスについて、詳細の発表があり、いわゆる「パスワードリスト攻撃」であることが発表されました。前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為（ブルートフォースアタック）」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。そのように判断した根拠