パスワードリスト攻撃

パスワードリスト攻撃とは？

「パスワードリスト攻撃」は、オンラインサービスなどへの不正ログインを狙って行われる、不正アクセス攻撃のひとつです。

何らかの方法で入手されたID・パスワードのリストを用いて、WEBサイトへの不正アクセスが行われます。

このパスワードリスト攻撃は、「ブルートフォース攻撃」や「ディクショナリアタック」といったサイバー攻撃と混同されることが多いのですが、ブルートフォース攻撃は考えられるパスワード文字列を総当たり式に入力していく手口です。

またディクショナリアタックはパスワードを不正入手する目的で用いられることが多い手口で、パスワードに使われそうな単語や人名を組み合わせて繰り返しログインを試すやり方です。

これら2種類のサイバー攻撃は、人間ではなくロボットを用いて行ったとしても、基本は“総当たり”です。

ログイン試行回数がどうしても多くなるため、不正アクセスを検出することはそこまで困難ではありません。

しかし、パスワードリスト攻撃は、あらかじめ用意されたパスワードリストがあるため、ログイン試行回数が少なくて済みます。

このことから、正規のアクセスと判別することが難しいサイバー攻撃であると言われています。

実際の被害事例をチェック！

実際に被害が生じたパスワードリスト攻撃の事例を2つ、以下に紹介します。

• 事例 1：セブン＆アイ・ホールディングスによるQRコード決済サービス『7pay』において、不正アクセスを原因とする金銭的被害が発生。同サービスは廃止に追い込まれました。（2019年7月）
• 事例 2：NTTドコモの『ドコモ口座』において、不正利用により他人の預金口座から預金が引き出されるという事件が発生しました。（2020年9月）

パスワードリスト攻撃の被害に遭う原因＆対策

パスワードリスト攻撃は、ユーザーが同じIDやパスワードを複数のインターネットサービスで使い回している場合に被害を受けやすいサイバー攻撃です。

そのため、パスワードリスト攻撃から身を守るためには、同じIDやパスワードを使い回さないことが第一です。

「覚えるのが大変だから…」「メモするのが面倒だから…」とさまざまなサービスで同じID・パスワードを使っている人は少なくありませんが、被害を受ける前に、サービスによりID・パスワードは変えるようにしましょう。