一つのパスワードを打ち込むと、自動的にさまざまなＩＤでアクセスを試行するプログラムを作成。２日間で１７万回アクセスし、２６人分のＩＤとパスワードを割り出した。さらにうち５人分の取引履歴や個人情報を閲覧していた。
ネット犯罪：顧客のＩＤ盗んだ日立のＳＥ逮捕　警視庁
http://www.mainichi-msn.co.jp/shakai/jiken/news/20070315k0000e040046000c.html

1つのIDでパスワードを既定数（3回とか）だけ連続で間違うと、アカウント一時停止等の緊急措置が取られるっていうのは大抵のシステムにある機能なわけだが、それとは逆にパスワードを固定してIDを可変にした例。1人当り6,500試行というから、特定IDをターゲットとした攻撃と単純に比較は出来ないけれども、恐ろしく効率が良いことは確か。

直感的にはIDよりパスワードの方が固定値を類推しにくそうだが、余りにも解り易いパスワードを設定している人はある程度危険だということか。個々人の対策としては、「ちょっとだけでいいので複雑なパスワードを設定する」っていう、ごく普通の対策になっちゃうね。

システム側の対策としては「同アドレスからの時間当たりの失敗アクセス数も記録し、アドレスによるアクセス制限をする」というのが考えられるが、そんな対策をしていないシステムは案外多いのかも知れない。自分の権限の範囲内で調査、対策＆発表すればよかったものを、貴重な研究結果を提供して下さいました。ということで、今後気をつけるチェック。

追記：アドレス単位のチェックだと、この例では数百台規模のネットワークを組まれたら終わってしまう。ID付与基準の変更が必須。