ぐるなび不正ログインに学ぶ：パスワードリスト攻撃と中小企業の実務対策

ぐるなびは、7月11日〜14日の期間、外部で漏えいしたID/パスワードを使い回して試す「パスワードリスト攻撃」が会員ログイン画面で確認され、対象会員のパスワードは強制リセット・個別通知、7月14日に個人情報保護委員会へ報告済みと公表されました（クレカ情報は保持せず漏えいなし）。発表は8月20日付。これは大手だけの話ではなく、ログイン機能のある“あらゆる中小サイト”が日常的に受けるリスクです。  

何が起きた？（用語解説）

パスワードリスト攻撃＝他社サービスから流出した認証情報の“総当たり”。利用者が同じパスワードを使い回していると、一撃で突破されます。UIの脆弱性ではなく“人の習慣”を突くのが厄介な点です。 

企業側の即効対策（5つだけは最低限）
1.　MFA（多要素認証）を既定化：TOTP/認証アプリを標準に。SMSのみは補助に。
2.　パスワード使い回し検知：既知漏えいハッシュとの照合・強制更新フローを実装。
3.　ログイン防御：リスクベース認証、試行回数制限、IP評判・ボット対策、reCAPTCHA等。
4.　異常検知と通知：深夜帯や新端末・新地域からの成功ログインは即時アラート。
5.　利用者教育：管理者・社員向けに「長くて使い回さない」原則とパスワードマネージャの利用を徹底。

なぜ「今」なのか

国内ではこの上半期もランサムやアカウント侵害が増加傾向。まず“侵入の入口”である認証強化に投資するのが、費用対効果の高い守りです。自社サイトにログイン機能がある、SaaSを社外公開している——いずれも他人事ではありません。 

まとめ

技術的には地味でも、MFA＋検知＋教育の三点セットが最短の防御線。社内ポータルや予約サイト、会員管理のどこに穴があるか、今日中に棚卸ししておきましょう。

ご不明な点がありましたら、いつでもお気軽にお問い合わせください。最新の対策や診断をご希望の方は、ぜひ一度ご相談ください。中小企業の情報セキュリティ強化を進めてまいりましょう！