前編に続き、証券会社への不正ログイン問題を題材として主なアカウント認証の仕組みや攻撃の手口について扱います。前号ではどのような認証方法（ログイン形態）があるのかについて紹介し、セキュリティ強度の観点で現在推奨されている主なアプローチについても説明しました。今号では、それらに対して現代ではどのような攻撃手法が用いられているのかを概観します。

よくある不正ログインの手口

便宜上いくつかにカテゴライズして紹介しますが、これらは並列の概念ではなく、組み合わさったり意味が重複することがあります。攻撃手法というのは千差万別であり、綺麗な分類構造に収まるものではないということに留意してください。

パスワードリスト攻撃

なんらかの方法によって手に入れたIDとパスワードの「リスト」をもとにひたすらいろいろなサービスに向けてログインを試行するという攻撃で、要するに「数撃ちゃ当たる」ですね。単にリスト型攻撃とも言われます（反対語は標的型攻撃）。

この次に総当たり攻撃と呼ばれるものも紹介しますが、それらとあえて区別するなら、異なるウェブサイトで同じID/パスワードのセットを使い回しているケースが主なターゲットになるかどうか、です。どんなに強固なパスワードを使用していたとしても複数のサイトで使い回しをしている場合、リスト型攻撃に対してはひどく脆弱です。

ではこのリストはどうやって調達されたのかというと、主に以下のようなルートがあると考えられます：
・ フィッシングメール、フィッシングサイト
・ マルウェア、コンピュータウイルス
・ 既に漏洩して出回っている攻撃者御用達リスト（コンボリストといいます）

これらの攻撃によって得られた各成果が犯罪市場によって統合されていき、一連の大きなリストとなっていきます。つまり、3つめに書いたような「リストのベース」が既に多数存在しており、ここに日々の犯罪成果がどんどん上乗せされていっているという状況です。一度漏洩したパスワードを使うべきではない理由も自ずとわかってきますね。※ 自分のパスワードが漏洩していないか心配な方は、各種チェックツールの使用も検討してみてください（1）。

件の証券口座乗っ取り問題もこのリスト型攻撃の典型的な例だったと考えられており、数千件という大規模な攻撃がほぼ同時期に起こったこと、証券会社各社は自社システム起因の情報流出を否定していること、いっぽうで事件後には一斉に多要素認証の必須化を進めていることなどもその蓋然性を高めています。

ではそのリストを構成する一件一件のID/パスワードはどうやって収集されているのか？という疑問が依然として残りますが、これはおそらくフィッシング系が大きな比率を占めているのではという見立てが有力です。これについては後ほど詳しく取り上げます。

ブルートフォースアタックとパスワードスプレー

いわゆる総当たり攻撃と呼ばれるもので、代表的な2つをまとめて紹介します。

この2つは「IDとパスワードのどちらを固定して総当たりするか」というふうに考えると一気にわかりやすくなります。前者はIDを固定してパスワードの候補を試すもの、後者はパスワードを固定してIDの候補を試すもの、という具合です（2）。

これらは細かく併用されたり組み合わせられたりしやすい傾向にあります。なぜなら、ウェブサイトのログインシステムによって自動的に制限されてしまうのをなるべく回避しようと攻撃者は考えるからです。例えば、パスワードを忘れてしまったときに思いつくものを何度か試していたらログイン機能がロックされてしまった経験がみなさんもあるでしょう。これは同じI Dに対して行うブルートフォースアタックはある程度分散させる必要があるという事実を示します。しかし攻撃者の視点に立つと、もし攻撃しているIDの存在を既に確信しているならこの攻撃はぜひとも継続したい（IDを固定してパスワード候補を試したい）わけなので、その分散の合間にあるクールダウンタイムの間にできることは何か？を考えると「有力だと考えるパスワード候補で違うIDにもトライできるのでは」となり、これがパスワードスプレーにつながります。

また、ウェブサイトのログイン機能側としては以下のような慣例があることにも触れておきましょう。

・ IDかパスワードのどちらかが間違っているときに「IDが間違っています」などのような重要なヒントを与えない（抽象的なエラーメッセージがよいとされています）

・ パスワード検証やユーザーの有無で処理時間に差が出ないようにする（計算に必要な処理時間の差すらも攻撃のヒントになってしまうため）

もし1つめのようなエラーメッセージに遭遇した場合、そのサイトには少し注意することをおすすめします。

セッションハイジャック

これまでは「ログインするためのID/パスワードが盗まれたりした結果不正にログインされてしまう」という流れでしたが、「私たちが正規の手段でログインした状態そのものを盗まれてしまう」というタイプもあります。これらを総称してセッションハイジャックと呼びます。

セッションとはすなわちログイン状態のことであるという理解で差し支えありません。私たちが一度ウェブサイトにログインするとサイト側から「ログインに成功した証明」が発行され、これがウェブブラウザに保存されます。以降、ページ遷移をしたりなにかアクションを起こす際には毎度この証明を添付して通信を行うからこそ、わざわざ毎度ログインをしなくてもよくなるのです。この証明を持っている有効な期間がログイン状態の期間のことであり、これがブラウザ内に保持されている状態を「セッションがある」などと呼びます。

ここまで来るとセッションハイジャックのイメージがつきますね。私たちが一度ログインしたことによるそのセッションの証明が盗まれたり再利用されたりした場合、それは第三者が自分のアカウントにログインできることにほかならないです。なりすましとも言えます。

セッションハイジャックはウェブサイト側のシステムになんらかの脆弱性（もっというと実装の不備）があることに起因するものが多く、ユーザー側の私たちが気をつけられることはあまり多くありません。とはいえ、例えば「PCをロックしないで離席してしまう→その間に誰かが勝手にアカウントを操作する」というよくあるインシデントもある種セッションハイジャックといえるかもしれません。

また、外出中にスマートフォンの盗難に遭った場合、ほぼすべてのサービスに対してセッションハイジャックされてしまう危険性があるということを認識しておきましょう。このリスクは、端末のロック設定やアプリごとの生体認証の設定などを見直すことでいくらか軽減できます。

最近のフィッシング事情

フィッシング詐欺という言葉はずいぶん昔からあり、かなりレガシーな犯罪というイメージが強いかもしれません。ところがそのイメージとは裏腹に、現代のフィッシング詐欺は実に巧妙でクオリティも高いです。

偽サイトの画面をつくることなどもともとたやすいですし、いまではAIを駆使すれば例えばログイン画面などコーヒーを飲んでいるあいだに本物と区別がつかないレベルのものを簡単に作れてしまいます。

また、これまでのフィッシングメールや怪しいサイトというのは、どこかおかしい日本語や中華フォントのような違和感によってその危険性をなんとなく察知することができましたが、これも現代の高品質なAIによって残念ながら突破されてしまったといえます。これまで私たちを守ってくれていた日本語という言語の壁がなくなってしまったのです。新しいテクノロジーは必ず悪いことにも転用されてしまうというよい例にもなってしまいました。

AIがもたらしたネガティブな効用のもうひとつの例として、CAPTCHAの突破が挙げられます。CAPTCHAとは、ログインするときなどにたまに出てくる「私はロボットではありません」をクリックしたりバイクを選ぶパズルをやらされたりするあれのことです。Googleが提供しているreCAPTCHAが有名ですね。しかしなんと、これらは現代のAIを使えば突破できるようになってしまいました（3）。ロボットが「私はロボットではありません」と証明できるようになってしまったとはなんと皮肉なことでしょうか。

以上のような攻撃の技術進化は、おそらく2025年になって急に大規模な攻撃が発生した背景のうちかなり大きな要素であると考えられています。つまり、AIをはじめとする技術の発展がフィッシング攻撃の成功率を劇的に高めてしまったのです。技術の応用スピードというのは犯罪を目的とするものがやはりずば抜けて速いものですが、伝統的な金融機関各社のシステムはこれになかなか追いつけておらず、結果として今回のような事態になってしまったと筆者は見ています。

そして重要な点ですが、多くの人は自分がフィッシングに引っかかったことにも気づきません。それもそのはず、フィッシングの第一の目的はIDとパスワードを収集することですから、むしろその目的が成功したことはなるべくターゲットに悟られたくありません（もちろんその直後に不正ログインまでセットで行う攻撃だった場合、なんらか自分のアカウントの不審な動きに気づける可能性は高いです）。

今回の証券口座乗っ取り問題においても「自分は絶対にフィッシングなどには引っかかっていない」と発言している方が多くいましたが、残念ながらおそらく一定数は実際に引っかかってしまっているものと思われます。2024年終盤から2025年初頭にかけて何もクリックなどしたことがないと思っていても、それよりはるか以前に実は成功していたフィッシングがあり、たまたまそのリストが今回の攻撃に使われたかもしれないのです（4）。セキュリティは日ごろから気をつける以外に最善の策はないということを思い知らされます。

事前に準備できる対策は？

ここまでの流れを再度振り返ってみます。

・ 最終的に実行される攻撃方法にはいろいろなものがあるが、そのうち多くのものは結局IDとパスワードのセットがないと成立しない

・ ではそれらIDとパスワードがどこから流出しているかというと、安易なパスワード設定によって推測されてしまう、フィッシングサイトに引っかかってしまう、などがある

ここで念を押しておきたいのは、「各サイトで強固なパスワードを設定して使い回ししないこと」は必須要件であるということです。現代ではこれを行っていない場合においてセキュリティ的には著しくリスクが高まってしまうということを強く認識しておきましょう。

そのうえで追加の防御策を講じます：

・ 二段階認証を設定できるサイトでは必ず設定する（→仮にそのサイト用のID/パスワードが漏洩してしまったとしても瞬時に被害にはつながらない）

・ パスキーを設定できるサイトでは積極的に使用する（→フィッシングをほぼ完封できる、サイト側の流出事故にも強い）（5）

二段階認証とパスキーについては前号で詳しく解説していますので再度併せてご参照ください。特に、現代のフィッシングの脅威を知ったうえでパスキーの仕組みを理解できるとそのメリットがよくわかるかと思います。

また、被害者がフィッシングサイトに至ってしまうまでの主なルートについても見ておきましょう：

・ フィッシングメール（SMS含む）
・ 検索エンジンの検索結果上部にあるリスティング広告

他にも種々様々あるとはいえ、代表的なものとしてはこの2つがメインになると思われます。前述したように、フィッシングメールは（見た目の意味で）開いてしまうとかなりの攻撃力を発揮されてしまうので、使っているメールクライアントの迷惑メールフィルタを見直すなどして「そもそもフィッシングメールが目に入らないようにする」ことが肝要です。これはすべてのサイトでパスキーを設定できるわけではないことからもかなり意味のある対策であるとご理解いただけるでしょう。

この機会に、ぜひパスワード管理やメール設定などを見直してみてくださいね。