パスワードリスト攻撃とは？ 仕組みや必要な対策など

不正アクセス対策として広く採用されている「IDとパスワードによる認証」。しかし、それを狙ったサイバー攻撃は多様化・巧妙化しており、これまで以上に適切な対策が求められています。

サイバー攻撃とは？ 種類と対策をわかりやすく解説 | ネットアテスト

企業が活動を続けるなかでセキュリティ対策は欠かせません。情報化が進んだことで企業が持つ情報の価値は高まり、サイバー攻撃の標的になるようになったからです。適切なセキュリティ対策を取るためには、サイバー攻撃の種類についてもしっかりと理解しておく必要があります。この記事では、企業が注意...

netattest.com

クラウドサービスを業務利用することが増えた昨今、特に注意したい不適切な運用が「平易なパスワードの使用」と「パスワードの使いまわし」です。平易なパスワードは「辞書攻撃」に対して脆弱になりやすく、パスワードを使いまわしている場合は「パスワードリスト攻撃」により、1つの事故の影響が別のシステムへ波及する恐れが高まります。

この記事では、パスワードリスト攻撃の仕組みと対策について解説します。

パスワードリスト攻撃とは

パスワードリスト攻撃とは、攻撃者が入手してリスト化したアカウント情報（IDとパスワードの組み合わせ）を使い、不正アクセスを行う攻撃手法です。何らかの方法で入手した認証情報を、さまざまなWebサービスで試行します。

近年では1人のユーザーが複数のWebサービスを併用することが一般的です。同じ認証情報を使いまわしているケースも少なくなく、パスワードリスト攻撃はそうした状況で被害が拡大しやすい攻撃といえます。

また、似た攻撃として「辞書攻撃」があります。辞書攻撃は、人名やよく使われる単語などを候補（辞書）として用意し、パスワードを推測する手法です。

総当たりで試行する「ブルートフォースアタック」とあわせて、パスワードを狙う代表的なサイバー攻撃手法の一つです。

パスワードリスト攻撃の仕組み

パスワードリスト攻撃は、まずアカウント情報を入手するところから始まります。入手した認証情報はリスト化され、ダークウェブ上で売買されることもあります。また、特定のWebサービスがサイバー攻撃を受け、そこから認証情報が漏えいするケースも考えられます。

そのようにして入手した「IDとパスワードの組み合わせのリスト」を用いて、さまざまなWebサービスで不正ログインを試行します。たとえば、サイトAで試行したのと同じリストを、サイトB、サイトCでも繰り返し試す、という流れです。

使いまわしがあると、攻撃者は「当たるまで試す」のではなく「既にどこかで正しいと分かっている組み合わせを横展開する」ことができてしまいます。結果として、被害が短時間で広がるリスクが高まります。

パスワードリスト攻撃への対策

パスワードリスト攻撃への対策として有効なのは、「パスワードを使いまわさないこと」と、「多要素認証を併用すること」です。

サービスごとに“完全に異なる”パスワードを使う

パスワードリスト攻撃は、漏えいした「同じ組み合わせ」を他サービスでも試す攻撃です。そのため、サービスごとに異なるパスワードを使っていれば、被害の波及を大きく抑えられます。

一方で、サービスごとに完全に別のパスワードを用意するのは煩雑になりがちです。現実的な対策としては、パスワード管理ツール（パスワードマネージャー）を利用し、各サービスに長くてランダムなパスワードを設定・保管する方法が有効です。

※「一定の規則に沿ってパスワードを作る（例：サービス名を前後に付ける）」といった方法は、一見すると覚えやすい反面、規則が推測された場合に連鎖的に突破される恐れがあります。攻撃に強い運用を目指すなら、推測されにくい“ランダムな個別パスワード”を採用しましょう。

多要素認証（MFA）を併用する

多要素認証（MFA）は、パスワードに加えて、スマートフォンの認証アプリ、SMS、デバイス要素、生体情報（指紋・顔）など複数の要素を組み合わせる認証方式です。

仮にIDとパスワードの組み合わせが漏えいしても、追加の要素がなければログインできないため、パスワードリスト攻撃に対して非常に有効です。多要素認証はブルートフォースアタックや辞書攻撃にも効果が期待できます。

多要素認証はサービスやシステム側の対応が必要ですが、利用者が設定で有効化できるケースも多くあります。利用可能な場合は、積極的に有効化しましょう。

企業として追加で検討したい運用

個人の注意だけでは限界があるため、企業の管理者は以下もあわせて検討すると効果的です。

• 不審なログインの検知（同一IDでの大量失敗、海外IP、短時間の連続試行など）
• ログイン試行の制御（レート制限、段階的な遅延、CAPTCHAなど）
• 漏えいが疑われる認証情報の利用制限（既知の漏えいパスワードの拒否など）
• SSO導入による認証の集約と、MFAの一元適用

この記事のまとめ

パスワードリスト攻撃は、パスワードの使いまわしがあると被害が短時間で拡大しやすい攻撃です。テレワークの普及やクラウド利用の増加により、業務で扱うアカウントは増え続けています。その一方で、個人の記憶に頼ったパスワード運用は破綻しやすく、結果として使いまわしが起きやすい状況もあります。

だからこそ、「サービスごとに異なるパスワードを使う」「多要素認証を併用する」という基本に立ち返ることが重要です。パスワード管理ツールの活用や、利用できる場面での多要素認証の有効化など、現実的に続けられる形で対策を進めましょう。

パスワードの使いまわしに関しては、「パスワードの使いまわしは危険？ 知っておきたいリスクと対策」でも詳しく解説していますので、あわせてご覧ください。

FAQ：パスワードリスト攻撃のよくある質問

Q1. パスワードリスト攻撃とブルートフォースアタックは何が違いますか？

パスワードリスト攻撃は「漏えいしたIDとパスワードの組み合わせ」を他サービスにも試す攻撃です。ブルートフォースアタックは候補を総当たりで試し、正しいパスワードを見つけようとする攻撃です。

Q2. 使いまわしをしていなければ、パスワードリスト攻撃の被害は防げますか？

被害の“波及”は大きく抑えられますが、当該サービス自体で漏えいが起きた場合は別問題です。使いまわし対策に加え、多要素認証や不審ログイン検知などの多層防御が重要です。

Q3. 「長いパスワード」と「複雑なパスワード」はどちらが重要ですか？

一般に長いほど推測や総当たりに強くなります。重要なのは“推測されにくさ”で、サービスごとに異なる長いパスワードを使う運用が効果的です。

Q4. パスワード管理ツールは安全ですか？

適切に設計された製品であれば、使いまわしを減らし、強いパスワードを運用しやすくするという点で有効です。強固なマスターパスワード設定や多要素認証の併用など、基本設定は必ず見直しましょう。

Q5. 多要素認証（MFA）を入れれば、パスワードは弱くても大丈夫ですか？

MFAは有効ですが、パスワードが弱いままだと別の攻撃（推測、フィッシング誘導など）で突破されるリスクは残ります。強いパスワードとMFAの併用が基本です。

Q6. SMSのワンタイムコードでも多要素認証になりますか？

多要素認証の一形態として利用されます。ただし方式によって強度は異なるため、利用できる場合は認証アプリやデバイス要素など、より強固な方式も検討しましょう。

Q7. 「パスワードが漏えいしたかどうか」は利用者側で分かりますか？

必ずしも分かりません。サービス側から通知が来る場合もありますが、通知がないまま流通するケースもあります。使いまわしを避け、MFAを有効化しておくことが現実的な備えです。

Q8. 企業はパスワードリスト攻撃にどう備えるべきですか？

利用者教育に加え、不審ログインの検知、レート制限、段階的な遅延、CAPTCHA、漏えいパスワードの拒否、SSO＋MFAの一元適用など、システム側の対策を組み合わせるのが有効です。

Q9. パスワードを定期的に変更すれば対策になりますか？

一概にはいえません。頻繁な変更は覚えやすいパスワードや使いまわしを助長することがあります。まずは使いまわしの解消とMFAの併用、漏えいが疑われる場合の迅速な変更を優先しましょう。

Q10. 何から始めればよいか分かりません。最優先は何ですか？

最優先は「使いまわしをやめること」と「MFAを有効化すること」です。併せて、パスワード管理ツールを導入すると運用が現実的になります。