• SecurityTIMES
  • ノウハウ
  • 「サイバー攻撃解説」あなたのアカウント情報を暴く!?『パスワードリストアタック』とは?

「サイバー攻撃解説」あなたのアカウント情報を暴く!?『パスワードリストアタック』とは?

2017年7月20日(木) ノウハウ

Webセキュリティを行う中で、知っておきたい攻撃の一つとして、『パスワードリストアタック』というものがあります。

これは、不正ログインの攻撃手法である「ブルートフォースアタック」と似ていますが少し性質が違うものです。
今回は『パスワードリストアタック』について解説していきたいと思います。

パスワードリストアタックとは?

パスワードリストアタックとは、攻撃者が不正に所持するパスワードとIDといったアカウント情報をもとにログインを試みる攻撃のことを指します。
「アカウントリスト攻撃」「リスト型アカウントハッキング」とも呼ばれています。
ブルートフォースアタックは手当たり次第、数字や英語の組み合わせを入力してログインができるまでやり続けるのですが、「パスワードリストアタック」の場合はあらかじめ用意したパスワードとIDを入力します。
ユーザー側はIDとパスワードを自分で覚えられる範囲内で使おうとしてしまうので、どうしても使い回しになってしまいがちです。そうやって使い回されたIDとパスワードが一致することを狙い攻撃していきます。

ブルートフォースアタックは手当たり次第入力していくため、入力回数が非常に多く、攻撃だと判明しやすい傾向にあります。
「パスワードリストアタック」の場合は、ある程度あたりのつけたアカウント情報をもとに入力を行いログインができるかどうか試みます。
入力回数そのものが少ないため、正規のログインでの入力なのか、攻撃者なのか判断がつきにくいという問題点があります。

パスワードリストアタックの被害とは?

パスワードリストアタックによる被害として、攻撃者にログインされてしまう点が挙げられます。
アカウントの乗っ取りによって、勝手に買い物をされてしまう、虚偽の書き込みや、メッセージの送信など金銭的にも信用にも関わる被害が予想されます。
また、そのサービスでログインができた場合に、そのIDとパスワードは有用だと判断されて、他のサービスなどでも使用されてしまう可能性があるでしょう。

パスワードリストアタックへの対策方法とは?

パスワードリストアタックが行われる根本的な要因としては、攻撃者にアカウント情報が流出しているという点が挙げられます。
管理ミスによる情報の漏洩も一因ではありますが、不正アクセスによる情報漏洩も要因の一つです。
このような要因を作り出さないためにも、サービス提供者は不正アクセスによって情報が漏洩しないようなサービス作り、Webサイト作りをする必要があります。

また、パスワードリストアタック自体への対策も必要です。

① パスワードリストアタックに対応できるセキュリティサービスの導入をする
② 二段階認証を導入して、本人でなければログインできないようにする
③ ログイン通知や履歴を提供することで、ユーザー自身が不正ログインに気がつけるようにする
④ 複数のアカウントへのログインを試す不審なIPなどがないか監視する

また、ユーザー側も対策を行いましょう。

① サービスによってIDとパスワードを変更する
② ログイン履歴や通知がある場合は積極的に利用する
③ 二段階認証がある場合は利用する

サービス提供者とユーザー双方の対策を行うことで、パスワードリストアタックによる被害を減らすことができるでしょう。
是非ともこれらの対策を実践してみてください!

Writer:SecurityTIMES編集部