F5 GLOSSARY

パスワードリスト攻撃

パスワードリスト攻撃とは

パスワード リスト攻撃とは、何らかの方法であらかじめ入手してリスト化したIDとパスワードを利用し、Webサイトへの不正アクセスを試みるという攻撃方法です。「アカウント リスト攻撃」あるいは「リスト型アカウント ハッキング」と呼ばれることもあります。

これは、ユーザが複数のWebサービス(オンライン サービス)に対し、同じアカウント情報を使いまわしている場合に、被害を受けやすい攻撃だといえます。これによってオンライン サービスへの不正アクセスが成功すると、攻撃者はその利用者のアカウントを乗っ取り、個人情報を搾取することが可能になります。ブルート フォース攻撃に比べると同一IDでの試行回数が極めて少ないため、Webサイト側での検知が難しい攻撃だと言えます。

>詳細はこちら

 

ブルートフォース攻撃との違い

パスワードリスト攻撃とよく混在されるのが「ブルートフォース(総当たり)攻撃」です。
「ブルートフォース(総当たり)攻撃」は、その名の通り、パスワードに使われると推測される文字列全てを総当たり式に当てはめていく方法です。
例えば、4桁のパスワードであれば、アルファベット、数字、記号、すべての考えられるパターンを総当たりで入力していきます。
この方法は、もちろん人間が行うと膨大な時間がかかるため、ロボットが実施しますが、「総当たり」のため、ログイン試行回数が多くなり、不正アクセスの検出は比較的容易でした。
この点、パスワードリスト攻撃は、ログイン試行回数が少ないため、正規アクセスとの判別が難しいのです。

>詳細はこちら

 

パスワードリスト攻撃の事例

パスワードリスト攻撃の事例としては、以下が挙げられます。
・2019年7月、セブン&アイ・ホールディングスが取り組んだQRコード決済サービス「7pay」で不正アクセスによる金銭的な被害が発生し、サービスを廃止せざるを得ないインシデントが発生。
・2020年9月、NTTドコモの「ドコモ口座」を不正利用して他人の預金口座からお金を引き出すという事件。

>詳細はこちら

 

パスワードリスト攻撃の対策

パスワードリスト攻撃の最も効果的な対策方法は、複数のWebサービスでパスワードの使い回しを行わないことです。
一方、Webサイト側では、同一IPアドレスから複数IDへのログイン試行が行われていないか、いつもとは異なる場所(国)からログイン試行が行われていないか、等を検知できる仕組み等が求められます。
アプリケーション レイヤを防御するWebアプリケーション ファイアウォール(WAF)を利用することで、このような対策が取りやすくなります。

>詳細はこちら

 

その他、パスワードリスト攻撃が増加している背景や、パスワードリスト攻撃を対策する最新のAIツールのご紹介、関連資料などは以下よりご覧いただけます。 是非ご覧ください。

>パスワードリスト攻撃とは?対策ツール「Shape Security」もご紹介
>【DL資料】Shape Security サービス資料
>F5のWAFソリューション「Advanced WAF」
>【DL資料】Advanced WAF サービス資料