F5 GLOSSARY

パスワードリスト攻撃

パスワード リスト攻撃とは、何らかの方法であらかじめ入手してリスト化したIDとパスワードを利用し、Webサイトへの不正アクセスを試みるという攻撃方法です。「アカウント リスト攻撃」あるいは「リスト型アカウント ハッキング」と呼ばれることもあります。

これは、ユーザが複数のWebサービス(オンライン サービス)に対し、同じアカウント情報を使いまわしている場合に、被害を受けやすい攻撃だといえます。これによってオンライン サービスへの不正アクセスが成功すると、攻撃者はその利用者のアカウントを乗っ取り、個人情報を搾取することが可能になります。ブルート フォース攻撃に比べると同一IDでの試行回数が極めて少ないため、Webサイト側での検知が難しい攻撃だと言えます。

最も効果的な防止方法は、複数のWebサービスでパスワードの使い回しを行わないことです。一方、Webサイト側では、同一IPアドレスから複数IDへのログイン試行が行われていないか、いつもとは異なる場所(国)からログイン試行が行われていないか、等を検知できる仕組み等が求められます。アプリケーション レイヤを防御するWebアプリケーション ファイアウォール(WAF)を利用することで、このような対策が取りやすくなります。

F5はWAF機能を実装した製品として「F5 BIG-IP」を提供しています。


< Return to the glossary