パスワードリスト攻撃

パスワードリスト攻撃とは、過去に漏えいしたIDとパスワードの組み（リスト）を使って、他のサービスへの不正ログインを試みる攻撃です。 攻撃者は、どこかのサイトから流出した認証情報をもとに、別のサイトに次々とログインを試します。もし同じパスワードを使い回していれば、簡単に突破されてしまうのです。

例えば、あるECサイトの会員情報が流出したとします。そのとき漏えいしたメールアドレスとパスワードが、銀行やSNS、通販サイトなど、まったく別のサービスへの侵入に利用される可能性があります。攻撃者は専用ツールを使い、自動で何千、何万もの組みを試すため、被害は短時間で広がってしまいます。

この攻撃がやっかいなのは、パスワードそのものを推測しているわけではない点です。すでに正しい組みが手元にあるため、総当たり攻撃や辞書攻撃よりも短時間で不正なログインに成功しやすい傾向があります。さらに、ログインに成功したとしても、正規ユーザーのアクセスと行動が似ているため検知が難しく、不正なログインを発見しにくいという特徴もあります。

では、どう防ぐべきか。まず重要なのは「パスワードの使い回しをやめる」ことです。サービスごとに異なるパスワードを設定すれば、一つのサイトで情報が漏れても他のアカウントへの侵入は防げます。さらに、二段階認証や多要素認証を有効にしておけば、仮にパスワードを知られても、追加の確認なしではログインできません。

サービスを提供する側にも対策があります。短時間に大量のログイン試行があった場合にアクセスを制限する、不正アクセスの兆候があればユーザーへ通知する、ログイン履歴を可視化するなどです。パスワードリスト攻撃は、利用者とサービス提供者の両方が注意を払うことで被害を大きく減らせます。

「自分は大丈夫」と思っていても、過去に登録した古いサービスから情報が漏れていることもあります。パスワードを使い回さない対策とともに、使っていないアカウントは削除する習慣をつけると安心ですね。