解説

パスワードリスト攻撃とは? 仕組みや必要な対策など

ソリトンシステムズ・マーケティングチーム
アイキャッチ
目次

不正アクセス対策として広く採用されているパスワードによる認証。それを狙ったサイバー攻撃は多様化・巧妙化しており、より一層の対策が必要になっています。

クラウドサービスを業務利用することが増えた昨今、より一層注意を払いたい不適切な運用が、パスワードにおける「平易な文字列の使用」と「使いまわし」です。平易な文字列は「辞書攻撃」に対して脆弱となり、パスワードの使いまわしをしている場合は「パスワードリスト攻撃」により1つのセキュリティ事故による被害が、別システムに波及する恐れが高まります。

この記事では、パスワードリスト攻撃の仕組みと対策について解説していきます。

パスワードリスト攻撃とは

パスワードリスト攻撃とは、攻撃者が入手してリスト化したアカウント情報を使い、不正アクセスを行う攻撃手法です。アカウント情報(IDとパスワードの組みあわせ)を何らかの方法で入手し、さまざまなWebサービスで試行します。

近年では一人のユーザーが複数のWebサービスを併用することが一般的です。同じアカウント情報を使いまわしているケースも多く、パスワードリスト攻撃はそのようなユーザーに対して非常に効果的な攻撃手法となっています。

また、似たような攻撃として「辞書攻撃」と呼ばれる攻撃手法も存在します。辞書攻撃では、人名やパスワードに使われやすい文字列などを辞書としてリスト化して試行する攻撃手法です。

総当たりで試行する「ブルートフォースアタック」とあわせて、パスワードを狙うサイバー攻撃手法の代表的な例となっています。

パスワードリスト攻撃の仕組み

パスワードリスト攻撃はアカウント情報を入手するところから始まります。アカウント情報はリスト化されてダークマーケットで売買されていることも。また、特定のWebサービスがサイバー攻撃を受け、そこからアカウント情報が盗み出されることも考えられるでしょう。

そのようにして入手したアカウントリストを用いて、さまざまなWebサービスで不正アクセスを試行します。例えば、サイトAで1~100のリストを試行し、同じリストでサイトB、サイトCと試行を繰り返すことで不正アクセスを目論む仕組みです。

前述のとおり、IDとパスワードの組みあわせを使いまわしているユーザーも多く、不正アクセスの被害に遭うケースも多くなっています。

パスワードリスト攻撃への対策

パスワードリスト攻撃に対しては、「パスワードを使いまわさないこと」と「多要素認証を用いること」が有効です。

パスワードリスト攻撃では同じIDとパスワードの組みあわせが試行されるため、サービスやシステムごとに異なるIDとパスワードの組みあわせであれば防げます。サービスなどごとにパスワードを変えて管理すると煩雑になりやすいため、特定のルールを定めてパスワードを設定することや、パスワード管理ツールを利用することをおすすめします。

例えば、サービスごとにパスワードの前後に固有の文字列を設定し、中間の文字列を固定化すると使いまわすことなく、覚えやすいパスワードが設定可能です。

(パスワード設定の例)
サイトA:Adk88OY!As
サイトB:Bdk88OY!Bs
サイトC:Cdk88OY!Cs

また、パスワード管理ツールを利用すれば、完全に異なるパスワードをサービスごとに設定しても、一元的に管理できるため忘れることがありません。

加えて、近年利用頻度が増えている「多要素認証」を組みあわせるとさらに強固になります。多要素認証は指紋認証やデバイス認証などのパスワードとは異なる要素を組みあわせた認証です。

仮にパスワードが突破されたとしても、指紋・デバイスなどの本人しか持ち得ない情報が必要になるためパスワードリスト攻撃に対して非常に効果的な対策になります。多要素認証は前述のブルートフォースアタックや辞書攻撃に対しても有効であり、パスワードとあわせて利用することで強固な認証が実現できる手段です。

利用者主導で導入することはできませんが、近年では多くのWebサービス・システムで採用されています。オプションとして利用できる場合も多いため、多要素認証が利用できる場合には積極的に利用しましょう。

この記事のまとめ

パスワードリスト攻撃への対策をしておきましょう。

テレワークの普及もあり、クラウドサービスを始めとしてさまざまなWebサービスやシステムを業務で利用するようになりました。パスワード自体は昔から存在するものですが、近年では個人で管理するには数が増えすぎて煩雑になりやすくなっています。

そのため、パスワードを使いまわすユーザーも多く見られますが、パスワードリスト攻撃のようにあなたのパスワードを狙った攻撃も多く存在することを忘れてはなりません。パスワードリスト攻撃から不正アクセスの被害にあえば、金銭的な被害だけでなく会社の社会的信用の失墜などにもつながりかねません。

この機会に、パスワード設定について見直し、多要素認証が利用できる場合には積極的に利用してみてはいかがでしょうか。

パスワードリスト攻撃に対しては、特にパスワードを使いまわさないことが重要です。パスワードの使いまわしに関しては、「パスワードの使いまわしは危険? 知っておきたいリスクと対策」でも詳しく解説していますので、こちらもぜひご覧ください。

ソリトンシステムズ・マーケティングチーム