パスワードリスト攻撃

パスワードリスト攻撃とは、悪意のある攻撃者が何らかの方法で入手したIDとパスワードのリストを使い、オンラインサービスなどに不正にアクセスを試みる手法です。これは、インターネットを利用しているユーザーの多くが、複数のサイトでIDとパスワードを使い回していることを悪用した攻撃ですが、正規のルートでログインされるため、不正アクセスに気がつかないこともあります。

パスワードリスト攻撃の脅威

攻撃者がパスワードリスト攻撃に成功すると、そのアカウントを乗っ取ることができるため、そのアカウントでできることならば何でもできてしまいます。具体的には以下のような被害が予想されます。

• 機密情報や個人情報の漏えい
• SNSのなりすまし送信
• ECサイトでの不正購入
• ネットバンキングでの不正引き出し
• ゲームサイトでのアイテム不正流出
• アカウントの閉鎖
• 他の犯罪への利用

パスワードリスト攻撃は、IDとパスワードのリストを入手した攻撃者にとっては比較的容易にできてしまう方法ですが、上記リストのように被害はとても大きなものとなってしまいます。そのため、攻撃者にとっては効率の良い攻撃手法だと言えます。

リストの入手方法

攻撃者がパスワードリスト攻撃に使用するリストを入手する方法は様々ですが、主に次のような方法があります。

不正アクセス

SQLインジェクションなど、他の方法を利用して脆弱性のあるサイトに不正アクセスします。攻撃者は、そこで入手したIDやパスワードを使い、他のサイトへのログインを試みます。

フィッシングサイト

フィッシングサイトとは、正規のWebサイトを装ってIDやパスワードを盗み取るサイトです。攻撃者は、そこで集めたログイン情報を利用して、IDとパスワードのリストを作成します。

闇サイトでの購入

すでに何らかの原因で流出してしまったIDやパスワードのリストがダークウェブを通じて販売されることがあります。攻撃者は、これを利用してパスワードリスト攻撃を行うことがあります。

攻撃対策（サイト利用者）

Webサイト利用者が、パスワードリスト攻撃から身を守るには次のような方法があります。

パスワードの使いまわしはしない

最もシンプルな方法ですが、パスワードは他のサイトで使い回さないようにします。一つ一つ別のパスワードにしておくことで、仮にどこかのサイトでパスワードが流出してしまっても、他のサイトに不正ログインされることはありません。

パスワード管理ソフトを利用する

１つ目の「パスワードの使いまわしはしない」が最も有効な方法ですが、一つ一つ別のパスワードを設定することはとても大変なことです。そこで便利なのがパスワード管理ソフトです。パスワード管理ソフトのパスワードだけ覚えておけば、後はソフトに任せることができます。また、管理ソフトにはパスワードを自動生成してくれるものもあるので、これを使い安全なパスワードを作ることができます。

攻撃対策（サイト運営者）

Webサイトの運営者が、パスワードリスト攻撃からサイトを防御するには次のような方法があります。

注意喚起

Webサイトの利用者に注意喚起することは、最も簡単で有効な方法です。ユーザーに、他サイトで使用しているパスワードは利用しないように注意喚起します。

二段階認証

IDとパスワードによる認証を行った後に、SMSによる認証や秘密の質問を設定するなどして二段階認証を行うことでセキュリティが向上します。

WAFを導入する

WAFとは、Webサイトを外部の攻撃から守るための仕組みの一種です。これを導入することによって、同一IPから複数アカウントへのアクセスが連続して行われた場合などに、ログインを遮断することができます。