パスワードリスト攻撃とは

パスワードリスト攻撃とは、攻撃対象とは別のサイトから得たIDとパスワードの一覧(リスト)を用い、攻撃対象のサイトでログインを試行する攻撃方法のこと。「リスト型攻撃」「リスト型アカウントハッキング」などとも呼ばれ、2010年後半から主にオンラインゲーム業界等で報告されてきた。

これは、同一のパスワードを、複数のWebサービスで使い回す利用者が多いという傾向を利用したもので、SQLインジェクションをはじめとする脆弱性を利用する等の方法で事前に入手したパスワードリストを用い、さまざまなWebサービスでログインの試行を繰り返す。そして、ログインが成功したサイトから、最終的には利用者の個人情報や金銭などを詐取しようとする。

独立行政法人 情報処理推進機構(IPA)では、2013年4月以降、国内の複数のサービスにおいて、パスワードリスト攻撃によるものと思われる不正ログインの被害が多数報告されていることから、「すべてのインターネットサービスで異なるパスワードを設定」することをはじめとする利用者向けの対策を呼び掛けている。

利用者側の対策としては、パスワードの設定、管理を厳重に行う必要がある。利用するWebサービスごとに同一のパスワードの使いまわしをやめ、パスワードの内容に、生年月日や名前、電話番号など、他人から類推されやすい情報を使わないことや、大文字と小文字、数字や記号を混ぜ、8文字以上の長い文字列に設定することなどが求められる。また、ID・パスワードを管理できる「パスワード管理ソフト」を利用することなども有効な対策の一つとして挙げられる。

サイト管理者側は、SQLインジェクションなどの脆弱性をなくすことに加え、「2段階認証」や、ユーザーの行動をサーバー側で分析することにより、普段とは異なる異常行動を発見し、必要に応じて追加の認証を行う「リスクベース認証」、パスワード試行の回数やパスワード間違いの回数などの「ログイン処理の監視」、利用者が、自分のログイン履歴を確認できる「ログイン履歴の確認機能の提供」などの防御策を採ることが、今後ますます求められてくる。

2013年8月の呼びかけ(IPA)
パスワード攻撃に対抗するWebサイト側セキュリティ強化策(徳丸浩の日記)

セキュリティ用語辞典一覧ページへ

辻 伸弘のセキュリティ防衛隊

関連キーワード:
  • ネットバンキングの不正送金事件に関し、総務省がウィルス対策の徹底呼びかけ
  • カテゴリートップへ
  • 【K子番外編】U子のセキュリティはじめまして!Vol.10 外出先でのモバイル無線LAN(Wi-Fi)の利用には危険がいっぱい