インターネット上のアカウントを狙った不正アクセスの手口は年々巧妙化しています。
その中でも、弱いパスワードや使い回しを狙って侵入を試みる攻撃がパスワードリスト攻撃です。
この攻撃は特別な技術がなくても実行できるため、多くのサービスで被害が報告されています。
この記事では、パスワードリスト攻撃の仕組みや特徴、被害を防ぐ対策について分かりやすく解説します。
PR
パスワードリスト攻撃とは?
パスワードリスト攻撃(Password List Attack)とは、攻撃者が一般的によく使われるパスワードや流出した認証情報のリストを使用して、アカウントへの不正ログインを試みる攻撃手法です。
よく使われるパスワード例
- 123456
- password
- qwerty
- 12345678
このような簡単なパスワードを設定しているアカウントが狙われます。
攻撃の主な方法
攻撃者は自動化ツールを使い、効率的にログインを試行します。
✔ 多数のアカウントに同じパスワードを試す
→ パスワードスプレー攻撃(Password Spraying)
✔ 1つのアカウントに複数のパスワードを試す
→ ブルートフォース攻撃の一種
✔ 流出したID・パスワードを利用
→ クレデンシャルスタッフィングに類似
なぜ攻撃が成功するのか
次のようなユーザー行動が攻撃成功の原因になります。
- 簡単なパスワードを使用している
- 同じパスワードを複数サイトで使い回している
- 過去に流出した認証情報を変更していない
攻撃者はこれらの弱点を狙います。
パスワードスプレー攻撃との関係
パスワードリスト攻撃の代表例が パスワードスプレー攻撃 です。
特徴
- 多数のアカウントに対し少数のパスワードを試す
- ロックアウトを回避しやすい
- 検知されにくい
企業環境でも注意が必要な攻撃手法です。
攻撃を防ぐための対策
✔ 強力なパスワードを設定する
- 12文字以上推奨
- 英字・数字・記号を組み合わせる
✔ パスワードの使い回しをしない
サービスごとに異なるパスワードを設定しましょう。
✔ 二要素認証(2FA)を有効化
パスワードが漏れても不正ログインを防げます。
関連用語
| 関連用語 | 一言解説 |
|---|---|
| ブルートフォース攻撃 | 総当たりでパスワードを試す攻撃 |
| クレデンシャルスタッフィング | 流出認証情報を利用した攻撃 |
| 二要素認証 | 2つの要素で本人確認を行う仕組み |
| 不正アクセス | 権限のない侵入行為 |
| 情報漏えい | 機密情報が外部に流出すること |
まとめ
パスワードリスト攻撃とは、一般的なパスワードや流出した認証情報のリストを使って不正ログインを試みる攻撃手法です。
弱いパスワードや使い回しがある場合、被害に遭うリスクが高まります。
強力なパスワードの設定や二要素認証の利用など、基本的なセキュリティ対策を実施することで被害を防ぐことができます。
パスワード管理の重要性を理解し、安全なアカウント運用を心がけましょう。
