パスワード リスト攻撃は、攻撃者が他のサイトの脆弱性を通じて入手した ID とパスワードの事前コンパイルされたリストを使用して、企業または組織の Web サイトへの不正アクセスを試みるサイバー攻撃の一種です。 この方法は、「アカウント リスト攻撃」または「リストベースのアカウント ハッキング」とも呼ばれます。
攻撃者は通常、安全でない Web サイトやシステムからこれらの ID パスワード リストを取得します。 たとえば、攻撃者が盗んだ資格情報を使用して電子商取引アカウントにアクセスすると、個人情報を盗んだり、保存されているクレジットカードの詳細を悪用したりする可能性があります。 パスワード リスト攻撃の被害者は、不正な引き出しや不正な取引により経済的損失を被る可能性があります。
パスワードリスト攻撃の原因
- IDとパスワードの再利用: 多くのユーザーは複数のサービスで同じ認証情報を再利用するため、攻撃者が複数のアカウントを侵害しやすくなります。
- フィッシング攻撃: 攻撃者はフィッシングを通じて認証情報リストを入手する可能性があります。フィッシングでは、ユーザーを騙して偽の、しかし説得力のある Web サイトに認証情報を入力させます。
他のサイバー攻撃との違い
パスワード リスト攻撃は、次の攻撃タイプと混同されることがよくあります。
- ブルートフォース攻撃: あらゆる可能な組み合わせを試して、パスワードを体系的に推測します。
- 辞書攻撃: 名前やフレーズなどの一般的なパスワードや単語の組み合わせの定義済みライブラリを使用する。
- パスワードスプレー攻撃: 単一のパスワードを使用して、同時に多くのアカウントにログインを試み、アカウント ロックアウト メカニズムを回避します。
パスワード リスト攻撃は、ブルート フォース攻撃に比べてアカウントあたりのログイン試行回数が少ないため、検出が特に困難です。
実際の事件の例
- QRコード決済システム: 2019年7月、日本のQRコード決済サービス「7pay」が、パスワードリスト攻撃とみられる不正アクセスにより金銭的被害を受け、サービス停止に追い込まれた。
- 銀行預金: NTTドコモは2020年9月、盗まれた認証情報を使って「ドコモ口座」を通じて銀行口座から不正に引き出される事件に見舞われた。
パスワードリスト攻撃の影響
- 不正な引き出しと支払い詐欺: 資格情報が盗まれると、銀行口座への不正アクセスやクレジットカードの不正使用につながる可能性があります。
- データ侵害: 被害者は個人情報や企業の機密情報の漏洩を経験する可能性があります。
- ソーシャルメディアでのなりすまし: ソーシャル メディア アカウントへの不正アクセスは、偽の投稿やメッセージを通じて評判を損なう可能性があります。
- サービスプロバイダーの法的責任: 企業は、セキュリティ対策が不十分なために民事責任や刑事責任を問われる可能性があり、損害の抑制に多大な費用がかかります。
- 国民の信頼の喪失: 違反は企業の評判を傷つけ、サービスに対するユーザーの信頼を低下させる可能性があります。
パスワードリスト攻撃の防止
個人と組織の両方が、これらの攻撃を防ぐための戦略を実施する必要があります。
- 資格情報の再利用を避ける: ユーザーはサービスごとに固有の ID とパスワードを使用する必要がありますが、サービス プロバイダーはユーザーにこの慣行について教育する必要があります。
- WAF でログイン試行を監視する: 同じ IP や異常な場所からの複数の試行など、疑わしいログイン アクティビティを検出するには、Webapplicationファイアウォール (WAF) を使用します。
- 2要素認証(2FA)を実装する: ワンタイム パスワードを電子メールで送信するなどの追加の認証手順を追加すると、資格情報が侵害された場合でも不正アクセスを防ぐことができます。