FE EXAM

パスワードリスト攻撃(流出情報の使い回し攻撃)

他で流出したID・パスワードの一覧を使い回して不正ログインを試みる攻撃。

DIAGRAM
流出元サイト
標的サイト
① A社サイト(流出元)不正アクセス等でID/PWが大量に流出taro@x.com / Pw!9zhana@x.com / abc12🦹② 攻撃者流出リストを入手📋 ID/PW一覧③ B社サイト(標的)同じID/PWをそのまま試すtaro@x.com / Pw!9z使い回し → ✓ ログイン成功同じID・パスワードを「使い回し」していると…A社で1度流出しただけで、B社・C社…と次々に突破されてしまうA社Pw!9z⚠️B社Pw!9z⚠️C社Pw!9z⚠️
解説

📌
パスワードリスト攻撃とは

流出した「同じID/PW」を別サイトで試すA社で流出id / pwそのままB社で試す✓ 突破

パスワードリスト攻撃とは、他で流出したID・パスワードの一覧(リスト)を使い回して、別のサイトへの不正ログインを試みる攻撃のことです。「リスト型攻撃」「アカウントリスト攻撃」とも呼ばれます。

身近な例で考えると、1本のカギで自宅・実家・別荘の全部のドアが開くような状態を想像してください。そのカギを1本盗まれただけで、すべての家に入られてしまいます。複数サイトで同じパスワードを使い回すのは、これと同じ危険な状態なのです。

上の図解では、攻撃者がA社から流出したリストを入手し、それをB社サイトでそのまま試して突破する流れを示しています。パスワードを当てる作業を一切しなくても、流出した正解をそのまま使うのがこの攻撃の特徴です。

📌
攻撃の仕組み

パスワードリスト攻撃は、おおむね次の流れで行われます。


① リストの入手:攻撃者は、どこかのサイトから不正アクセスなどで流出したID・パスワードの一覧を手に入れます。こうしたリストは闇市場で売買されていることもあります。
② 別サイトでログイン試行:そのリストにあるID / パスワードの組を、まったく別のサイトのログイン画面にそのまま入力します。プログラムで自動的に大量試行するのが一般的です。
③ 使い回しを突いて成功:利用者が両方のサイトで同じID・パスワードを使い回していた場合、別サイトでもそのままログインできてしまいます。

ここがこの攻撃の重要なポイントです。総当たり攻撃や辞書攻撃が「正しいパスワードを当てる」のに対し、リスト攻撃は「すでに分かっている正解をそのまま使い回す」ため、無駄な試行が少なく成功率が高いのです。流出元のサイトに問題がなくても、使い回しているせいで自分が被害に遭う点に注意が必要です。

📌
対策(使い回し回避)

サイトごとに違うパスワードにするA社Pw!9zB社kT#3mC社qZ@7r

最大の対策は、パスワードを使い回さないことです。リスト攻撃は使い回しを突く攻撃なので、サイトごとに違うパスワードにするだけで「1か所流出 → 全部突破」の連鎖を断ち切れます。

利用者ができる具体的な対策は次のとおりです。
サイトごとに異なるパスワードを使う:上の図のように、A社・B社・C社で別々のパスワードにすれば、1つ漏れても他は守られます。
パスワード管理ツールを使う:たくさんのパスワードを覚えきれないときは、専用ツールに任せると安全に管理できます。
多要素認証(MFA)を有効にする:パスワードに加えてスマホへのコードなどを求める仕組みで、たとえパスワードが流出してもログインを防げます。

サービス側の対策としては、普段と違う場所・端末からのログインを検知して追加確認を求める仕組みや、短時間に大量のログイン試行があった場合に制限をかける仕組みが有効です。利用者とサービスの両方が対策することで、被害をぐっと減らせます。

練習問題

🎯
基本情報技術者 練習問題

Q1.パスワードリスト攻撃の説明として最も適切なものはどれか。
A.他で流出したID・パスワードの一覧を使い回して別サイトへの不正ログインを試みる
B.あらゆる文字の組み合わせを片端から試してパスワードを破る
C.SYNパケットを大量送信してサーバを応答不能にする
D.通信を盗聴して暗号鍵を解読する
Q2.パスワードリスト攻撃が成立しやすくなる利用者の習慣はどれか。
A.複数のサイトで同じID・パスワードを使い回す
B.サイトごとに異なるパスワードを設定する
C.パスワードを定期的に十分な長さで作り直す
D.多要素認証を有効にする
Q3.パスワードリスト攻撃への対策として最も効果的なものはどれか。
A.サイトごとに異なるパスワードを使い、多要素認証を併用する
B.すべてのサイトで覚えやすい同じパスワードに統一する
C.パスワードを誕生日にして忘れないようにする
D.パスワードをメモしてモニターに貼っておく

関連コンテンツ