情報セキュリティマネジメント試験 科目A キーワード集 > パスワードリスト攻撃
概要
パスワードリスト攻撃(リスト型攻撃/クレデンシャルスタッフィング)とは、他のサービスから流出したID・パスワードの組み合わせのリストを使い、別のサービスへ次々とログインを試みる攻撃です。多くの利用者が複数のサービスで同じID・パスワードを使い回していることを悪用します。
総当たりのブルートフォースと違い、すでに「正しい可能性が高い組み合わせ」を使うため成功率が高く、少ない試行で突破できるのが厄介な点です。アカウントロックも回避されやすくなります。
詳細(仕組み・なぜ成立するか)
- 攻撃者が、漏えい・売買されたID/パスワードのリストを入手する。
- そのリストを別のサービスに自動的に投入してログインを試みる。
- 使い回しているアカウントでログインに成功し、不正利用される。
本質的な原因はパスワードの使い回しです。1か所の流出が、使い回した全サービスの危険につながります。
パスワードリスト攻撃のキーワードは「流出したID/パスワードを別サービスで試す」「使い回しを悪用」。ブルートフォース(総当たり)との違いを押さえ、対策の本命が多要素認証とパスワードを使い回さないことである点を覚えましょう。
対策
利用者側
- パスワードを使い回さない(サービスごとに異なるパスワード)。パスワード管理ツールの活用。
- 多要素認証を有効にする。これが最も効果的。
サービス提供側
- 多要素認証・リスクベース認証(普段と違うアクセス時に追加認証)の導入。
- 不審なログイン試行の監視・通知、CAPTCHAによる自動化攻撃の抑止。
- パスワードはハッシュ化(ソルト付き)して保存し、流出時の被害を抑える。
インシデント事例
ポイント・ECサービスの不正ログイン
パスワードリスト攻撃により、ポイントサービスやECサイトに大量の不正ログインが行われ、ポイントの不正利用や個人情報の閲覧被害が発生する事例が繰り返し報告されています。多くは利用者の使い回しが原因でした。
キャッシュレス決済の不正利用
使い回されたアカウントが乗っ取られ、チャージ残高や登録カードが不正利用される被害もありました。事業者は多要素認証の導入を進めています。
試験での問われ方
- 「流出したID・パスワードを使い、別サービスへログインを試みる攻撃はどれか」→ パスワードリスト攻撃。
- 「パスワードの使い回しが招くリスクはどれか」。
- 「パスワードリスト攻撃への最も有効な対策はどれか」→ 多要素認証・使い回しの回避。