パスワードリスト攻撃とは？ 仕組み・他の攻撃との違い・対策を整理

パスワードリスト攻撃とは、他サービスから漏えいしたIDとパスワードの組み合わせを、別のサービスでもそのまま試す不正アクセス手法です。利用者が認証情報を使いまわしていると、1件の漏えいが複数のサービスへ連鎖しやすくなります。

対策の軸は明確です。利用者側では使いまわしをなくし、多要素認証を併用します。企業側では、それに加えてログイン試行の制御、不審なログインの検知、漏えい済みパスワードの拒否まで整えると、被害を広げにくくできます。

サイバー攻撃とは？ 種類と対策をわかりやすく解説 | ネットアテスト

企業が活動を続けるなかでセキュリティ対策は欠かせません。情報化が進んだことで企業が持つ情報の価値は高まり、サイバー攻撃の標的になるようになったからです。適切なセキュリティ対策を取るためには、サイバー攻撃の種類についてもしっかりと理解しておく必要があります。この記事では、企業が注意...

netattest.com

クラウドサービスを業務で使う場面が増えるほど、推測されやすいパスワードの利用とパスワードの使いまわしは事故につながりやすくなります。前者は辞書攻撃の成立を助け、後者はパスワードリスト攻撃によって、1つの事故の影響を別のシステムへ波及させやすくします。

パスワードリスト攻撃とは

パスワードリスト攻撃とは、攻撃者が入手してリスト化した認証情報、つまりIDとパスワードの組み合わせを使い、別のサービスで不正ログインを試す攻撃です。英語ではcredential stuffingと呼ばれます。攻撃者はパスワードをその場で推測するのではなく、すでにどこかで有効だった組み合わせを横展開します。

被害が拡大しやすい理由

近年では、1人の利用者が複数のWebサービスを併用することが一般的です。同じメールアドレスや同じパスワードを使いまわしていると、1つのサービスから漏えいした認証情報が、他のサービスでも通用することがあります。攻撃者にとっては「当たるまで試す」より、「すでに正しい可能性が高い組み合わせを別のサービスでも試す」ほうが効率的です。

辞書攻撃・ブルートフォースアタックとの違い

パスワードを狙う攻撃は複数あり、区別できないと対策の優先順位がずれます。違いは次の通りです。

つまり、辞書攻撃やブルートフォースアタックは「弱いパスワード」や「試行回数の多さ」が成立条件になりやすい一方、パスワードリスト攻撃は「使いまわし」と「漏えい済み認証情報の再利用」で成立しやすい点が違います。

パスワードリスト攻撃の仕組み

1. 攻撃者が認証情報を入手する

パスワードリスト攻撃は、まず認証情報の入手から始まります。情報の入手経路としては、他サービスからの漏えい、フィッシング、マルウェア、過去の流出データの再利用などが挙げられます。入手した認証情報がリスト化され、第三者の間で流通することもあります。

2. 入手したリストを別サービスへ横展開する

入手したIDとパスワードの組み合わせを、さまざまなWebサービスのログイン画面で試します。たとえば、サイトAで入手したリストを、サイトBやサイトCにも流用する形です。ログインIDとしてメールアドレスを広く使っている環境では、この横展開が成立しやすくなります。

3. 成功したアカウントを起点に被害が広がる

ログインが成功すると、不正購入やポイント不正利用だけでなく、メールアドレス変更、保存情報の抜き取り、設定変更へ発展する可能性があります。企業で利用しているSaaSや管理画面で成立した場合は、権限しだいで情報漏えいや設定改ざんにもつながります。

自社で危険度が上がりやすい条件

業務で利用するサービスが多く、同じメールアドレスをログインIDとして使う範囲が広いほど、使いまわしが起きたときの波及リスクは上がります。また、VPN、グループウェア、重要SaaSの管理画面など、侵入後にできることが多いアカウントで成立すると、被害が短時間で拡大しやすくなります。

パスワードリスト攻撃への対策

対策は、利用者の習慣だけに依存させないほうが安全です。利用者側の運用と、企業側の制御・検知を分けて考えると整理しやすくなります。

サービスごとに異なるパスワードを使う

パスワードリスト攻撃は、漏えいした「同じ組み合わせ」を別サービスでも試す攻撃です。そのため、サービスごとに異なるパスワードを使っていれば、被害の波及を大きく抑えられます。

一方で、すべてのサービスで別のパスワードを覚えるのは現実的ではありません。運用面では、パスワードマネージャーを使い、各サービスに長くてランダムなパスワードを設定・保管する方法が採用しやすくなります。

規則性のある疑似的な使い分けは避ける

「サービス名を前後に付ける」「末尾の数字だけ変える」といった規則性のある作り方は、覚えやすい反面、規則が推測されると連鎖的に突破されるおそれがあります。推測されにくい個別のパスワードを使うほうが安全です。

多要素認証（MFA）を併用する

多要素認証（MFA）は、パスワードに加えて、認証アプリ、SMS、デバイス要素、生体要素など複数の要素を組み合わせる認証方式です。

仮にIDとパスワードの組み合わせが漏えいしても、追加要素がなければログインしにくくなるため、パスワードリスト攻撃への抑止力が上がります。辞書攻撃やブルートフォースアタックへの対策としても位置付けやすい方法です。

MFAはどこから優先するか

すべてのアカウントへ同時に適用できない場合は、メール、VPN、重要SaaS、クラウド管理画面、管理者アカウントの順に優先度を付けると判断しやすくなります。突破されたときの影響が大きいアカウントから先に保護する考え方です。

企業として追加で検討したい制御と監視

使いまわし禁止やMFA推奨だけでは、運用が徹底されない場合があります。企業側では、攻撃が試行される前提で、抑止、検知、封じ込めを組み合わせる必要があります。

• 不審なログインの検知：同一IDでの大量失敗、短時間の連続試行、普段と異なる地域や端末からのログイン
• ログイン試行の制御：レート制限、段階的な遅延、CAPTCHA、必要に応じたロックや追加認証
• 漏えい済み認証情報の利用制限：既知の漏えいパスワードや一般的な文字列を、新規設定や変更時に拒否する
• シングルサインオンの導入による認証の集約と、MFAの一元適用

成立後に被害を広げにくくする運用

ログイン画面での試行を減らす対策と、ログイン後の被害を抑える対策は役割が異なります。権限を必要最小限に絞る、重要操作で再認証を求める、監査ログを残すといった運用を組み合わせると、万一成立しても被害範囲を限定しやすくなります。

何から始めるか

最初に着手しやすい項目は、次の3つです。

利用者教育だけで終わらせず、ログインの入口で止める対策と、成立後の拡大を抑える対策を並行して整えると、攻撃の影響を小さくしやすくなります。

まとめ

パスワードリスト攻撃は、漏えい済みの認証情報を別サービスでも試す攻撃です。被害が広がりやすい理由は、使いまわしがあると、1件の漏えいが他サービスにも波及するためです。

対策の基本は、サービスごとに異なるパスワードを使うことと、多要素認証を併用することです。企業側では、それに加えて、試行制御、不審ログイン検知、漏えい済みパスワードの拒否、権限管理まで整えると、被害を抑えやすくなります。

パスワードの使いまわしそのもののリスクは、関連テーマの記事でも確認できます。認証の見直しを進める場合は、単一の対策だけで済ませず、認証、試行制御、監視をセットで見直したほうが実態に合います。

FAQ