他で流出したID・パスワードの一覧を使い回して不正ログインを試みる攻撃。
パスワードリスト攻撃とは、他で流出したID・パスワードの一覧(リスト)を使い回して、別のサイトへの不正ログインを試みる攻撃のことです。「リスト型攻撃」「アカウントリスト攻撃」とも呼ばれます。
身近な例で考えると、1本のカギで自宅・実家・別荘の全部のドアが開くような状態を想像してください。そのカギを1本盗まれただけで、すべての家に入られてしまいます。複数サイトで同じパスワードを使い回すのは、これと同じ危険な状態なのです。
上の図解では、攻撃者がA社から流出したリストを入手し、それをB社サイトでそのまま試して突破する流れを示しています。パスワードを当てる作業を一切しなくても、流出した正解をそのまま使うのがこの攻撃の特徴です。
パスワードリスト攻撃は、おおむね次の流れで行われます。
・① リストの入手:攻撃者は、どこかのサイトから不正アクセスなどで流出したID・パスワードの一覧を手に入れます。こうしたリストは闇市場で売買されていることもあります。
・② 別サイトでログイン試行:そのリストにあるID / パスワードの組を、まったく別のサイトのログイン画面にそのまま入力します。プログラムで自動的に大量試行するのが一般的です。
・③ 使い回しを突いて成功:利用者が両方のサイトで同じID・パスワードを使い回していた場合、別サイトでもそのままログインできてしまいます。
ここがこの攻撃の重要なポイントです。総当たり攻撃や辞書攻撃が「正しいパスワードを当てる」のに対し、リスト攻撃は「すでに分かっている正解をそのまま使い回す」ため、無駄な試行が少なく成功率が高いのです。流出元のサイトに問題がなくても、使い回しているせいで自分が被害に遭う点に注意が必要です。
最大の対策は、パスワードを使い回さないことです。リスト攻撃は使い回しを突く攻撃なので、サイトごとに違うパスワードにするだけで「1か所流出 → 全部突破」の連鎖を断ち切れます。
利用者ができる具体的な対策は次のとおりです。
・サイトごとに異なるパスワードを使う:上の図のように、A社・B社・C社で別々のパスワードにすれば、1つ漏れても他は守られます。
・パスワード管理ツールを使う:たくさんのパスワードを覚えきれないときは、専用ツールに任せると安全に管理できます。
・多要素認証(MFA)を有効にする:パスワードに加えてスマホへのコードなどを求める仕組みで、たとえパスワードが流出してもログインを防げます。
サービス側の対策としては、普段と違う場所・端末からのログインを検知して追加確認を求める仕組みや、短時間に大量のログイン試行があった場合に制限をかける仕組みが有効です。利用者とサービスの両方が対策することで、被害をぐっと減らせます。