パスワードリスト攻撃
読み方:パスワードリストコウゲキ
パスワードリスト攻撃とは
攻撃者がオンライン上のサービスへ不正ログインをするために、不正な手段で入手したパスワードとIDがセットになったリストを、さまざまなSNSやサイトで入力していくサイバー攻撃です。
例えば、あるショッピングサイトで会員IDとパスワードの流出があったとします。そのサイトのIDとパスワードをアナウンス通り変えれば一安心と思うかもしれません。しかし、他のサイトやSNSで流出したIDとパスワードを利用され、一致していた場合は二次被害が出ます。SNSで同じIDとパスワードを使い回している人間は8割以上いることが、2020年の某セキュリティ関連企業の調査でも報告されています。
パスワードリスト攻撃の対策
対策としては、利用者は同じパスワードを使い回さないことや、サービス提供者はWAFなどの対策セキュリティの導入することが挙げられます。
パスワードリスト攻撃の事例
- 某大手コンビニエンスストア運営企業のQRコード決済サービス
2019年7月、同社が取り組んだQRコード決済サービスで不正アクセスによる金銭的被害が起きて、サービスの廃止に追い込まれました。
- 某通信企業の口座サービス不正利用被害
2020年9月、当該会社の口座サービスを不正利用して、他人の預金口座からお金を盗み出す事件がありました。
- 某アパレルECサイトの不正ログイン被害
2015年から2017年にかけて、婦人服販売を行っているECサイトがサイバー攻撃被害に遭いました。加害者は少ない試行回数で不正ログインに成功しており、パスワードリスト攻撃だと考えられています。また、2年の期間被害に遭い続けたことから、標準型攻撃ではないかとの見方もされています。
- 某ショッピングサイトでポイント不正入手および利用の70万円の被害
来日中の留学生がパスワードリスト攻撃により、ポイントを不正入手し、70万円分商品を購入する事件がありました。
パスワードリスト攻撃の関連語
- 総当たり攻撃
パスワードを割り出す攻撃手法として、主にパスワードリスト攻撃と総当たり攻撃があります。別名、ブルートフォース攻撃とも呼ばれています。パスワードリスト攻撃は見てきた通り、とあるSNSやサイトなどのIDとパスワードを不正な手段で入手して、SNSやサイトで同一のIDとパスワードを使い回す人が多いことを利用し、他のSNSやサイトで入力していくサイバー攻撃です。総当たり攻撃は莫大な試行回数を繰り返し、手当たり次第すべての単語を入力していく手法です。こちらに関しては、莫大な試行回数なので検出しやすいですが、パスワードリスト攻撃は正規のログインと試行回数などあまり変わらないため検出は困難です。