パスワードリスト攻撃とは？ 仕組みや必要な対策など

不正アクセス対策として広く採用されている「IDとパスワードによる認証」。しかし、それを狙ったサイバー攻撃は多様化・巧妙化しており、これまで以上に適切な対策が求められています。

サイバー攻撃とは？ 種類と対策をわかりやすく解説 | ネットアテスト

企業が活動を続けるなかでセキュリティ対策は欠かせません。情報化が進んだことで企業が持つ情報の価値は高まり、サイバー攻撃の標的になるようになったからです。適切なセキュリティ対策を取るためには、サイバー攻撃の種類についてもしっかりと理解しておく必要があります。この記事では、企業が注意...

netattest.com

クラウドサービスを業務利用することが増えた昨今、特に注意したい不適切な運用が「平易なパスワードの使用」と「パスワードの使いまわし」です。平易なパスワードは「辞書攻撃」に対して脆弱になりやすく、パスワードを使いまわしている場合は「パスワードリスト攻撃」により、1つの事故の影響が別のシステムへ波及する恐れが高まります。

この記事では、パスワードリスト攻撃の仕組みを整理したうえで、個人の運用だけに依存しない対策の考え方（企業側での管理・制御・検知）まで含めて解説します。読了後に「どこから手を付けるべきか」「何を優先すべきか」を判断できる状態を目指します。

パスワードリスト攻撃とは

この章では、パスワードリスト攻撃の定義と、似た攻撃との違いを整理します。用語の区別が付くと、対策の打ち手（運用・制御・監視）の選び方が明確になります。

パスワードリスト攻撃とは、攻撃者が入手してリスト化したアカウント情報（IDとパスワードの組み合わせ）を使い、不正アクセスを行う攻撃手法です。何らかの方法で入手した認証情報を、さまざまなWebサービスで試行します。

被害が拡大しやすい理由は「使いまわし」にある

近年では1人のユーザーが複数のWebサービスを併用することが一般的です。同じ認証情報を使いまわしているケースも少なくなく、パスワードリスト攻撃はそうした状況で被害が拡大しやすい攻撃といえます。使いまわしがあると、攻撃者は「当たるまで試す」のではなく「すでにどこかで正しいと分かっている組み合わせを横展開する」ことができます。

辞書攻撃・ブルートフォースアタックとの違い

パスワードを狙う攻撃は複数あり、混同すると対策の優先順位がぶれます。辞書攻撃は、人名やよく使われる単語などを候補（辞書）として用意し、パスワードを推測する手法です。総当たりで試行する「ブルートフォースアタック」は、候補を機械的に広げて突破を狙います。

実務上のポイント

辞書攻撃やブルートフォースアタックは「弱いパスワード」や「試行回数が多い」ほど成立しやすく、パスワードリスト攻撃は「使いまわし」や「漏えい済み認証情報の再利用」で成立しやすい、という違いがあります。つまり、パスワードリスト攻撃への対策は、強度だけでなく運用（使い分け・漏えい前提・MFA）を含めて考える必要があります。

パスワードリスト攻撃の仕組み

この章では、攻撃が成立するまでの流れを分解します。どの段階に手を打つか（漏えいを前提に止めるのか、試行を検知するのか）を判断しやすくなります。

1. 攻撃者が認証情報を入手する

パスワードリスト攻撃は、まずアカウント情報を入手するところから始まります。入手した認証情報はリスト化され、ダークウェブ上で売買されることもあります。また、特定のWebサービスがサイバー攻撃を受け、そこから認証情報が漏えいするケースも考えられます。

2. 入手したリストを別サービスへ横展開する

そのようにして入手した「IDとパスワードの組み合わせのリスト」を用いて、さまざまなWebサービスで不正ログインを試行します。たとえば、サイトAで試行したのと同じリストを、サイトB、サイトCでも繰り返し試す、という流れです。

3. 成功したアカウントを起点に被害が広がる

ログインが成功すると、被害は不正購入やポイント不正利用にとどまらず、メールアドレスの変更や二次認証の無効化、保存情報の抜き取りなどへ発展する可能性があります。企業利用のSaaSや管理画面で成立した場合は、権限次第で情報漏えいや設定改ざんにもつながり得ます。

判断材料：自社で特に危険度が上がる条件

業務で利用するサービスが増え、同一のメールアドレスをログインIDとして使う範囲が広いほど、使いまわしが起きたときの波及リスクは上がります。また、VPNやグループウェア、SaaS管理画面など「侵入後にできることが多い入口」で成立すると、被害が短時間で拡大しやすくなります。

パスワードリスト攻撃への対策

この章では、対策を「利用者ができる運用」と「企業として実装・運用できる対策」に分けて整理します。個人の注意だけに依存しない形へ寄せることが、現実的な強化につながります。

パスワードリスト攻撃への対策として有効なのは、「パスワードを使いまわさないこと」と、「多要素認証を併用すること」です。

サービスごとに“完全に異なる”パスワードを使う

パスワードリスト攻撃は、漏えいした「同じ組み合わせ」を他サービスでも試す攻撃です。そのため、サービスごとに異なるパスワードを使っていれば、被害の波及を大きく抑えられます。

一方で、サービスごとに完全に別のパスワードを用意するのは煩雑になりがちです。現実的な対策としては、パスワード管理ツール（パスワードマネージャー）を利用し、各サービスに長くてランダムなパスワードを設定・保管する方法が有効です。

やってはいけない作り方：規則性のある“疑似的な使い分け”

「一定の規則に沿ってパスワードを作る（例：サービス名を前後に付ける）」といった方法は、一見すると覚えやすい反面、規則が推測された場合に連鎖的に突破される恐れがあります。攻撃に強い運用を目指すなら、推測されにくいランダムな個別パスワードを採用しましょう。

多要素認証（MFA）を併用する

多要素認証（MFA）は、パスワードに加えて、スマートフォンの認証アプリ、SMS、デバイス要素、生体情報（指紋・顔）など複数の要素を組み合わせる認証方式です。

仮にIDとパスワードの組み合わせが漏えいしても、追加の要素がなければログインできないため、パスワードリスト攻撃に対して有効です。多要素認証はブルートフォースアタックや辞書攻撃にも効果が期待できます。

判断材料：MFAは「どこから」有効化するべきか

運用負荷と効果のバランスを取るには、侵入口になりやすい領域（メール、VPN、クラウド管理画面、重要SaaS、管理者アカウント）から優先して適用し、段階的に範囲を広げる進め方が現実的です。まずは「突破されると被害が大きい入口」から固めるのが基本になります。

企業として追加で検討したい運用

使いまわしの禁止やMFAの推奨だけでは、運用が徹底されない場合があります。また、攻撃側は自動化されているため、企業としては「試行される前提」で抑止・検知・封じ込めの仕組みを持つことが重要です。

• 不審なログインの検知（同一IDでの大量失敗、海外IP、短時間の連続試行など）
• ログイン試行の制御（レート制限、段階的な遅延、CAPTCHAなど）
• 漏えいが疑われる認証情報の利用制限（既知の漏えいパスワードの拒否など）
• SSO導入による認証の集約と、MFAの一元適用

判断材料：企業側の対策は「認証の入口」と「運用の入口」に分けて考える

ログイン画面での試行を減らす対策（レート制限など）と、ログイン後に被害を広げない対策（権限管理、監視、重要操作の再認証など）は役割が異なります。どちらか一方ではなく、入口で止める・成立後に拡大させない・痕跡を追える、の3点がそろうと、現実的な強度が上がります。

この記事のまとめ

パスワードリスト攻撃は、パスワードの使いまわしがあると被害が短時間で拡大しやすい攻撃です。テレワークの普及やクラウド利用の増加により、業務で扱うアカウントは増え続けています。その一方で、個人の記憶に頼ったパスワード運用は破綻しやすく、結果として使いまわしが起きやすい状況もあります。

だからこそ、「サービスごとに異なるパスワードを使う」「多要素認証を併用する」という基本に立ち返ることが重要です。パスワード管理ツールの活用や、侵入口になりやすい領域からのMFA適用など、現実的に続けられる形で対策を進めましょう。

パスワードの使いまわしに関しては、「パスワードの使いまわしは危険？ 知っておきたいリスクと対策」でも詳しく解説していますので、あわせてご覧ください。

FAQ