サービスに関するお問い合わせ
緊急対応 専用窓口
セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。
アカウントリスト攻撃は不正ログインを試みる攻撃です。
不正ログインを試みる代表的な攻撃方法としては他にも「ブルートフォース攻撃」や「リバースブルートフォース攻撃」等があります。
いずれの場合でも、攻撃者は複数のユーザアカウントやパスワードの組み合わせを使用して、システムやアプリケーションに対して自動化されたログイン試行を行います。
アカウントリスト攻撃の主な手順は以下の通りです。
狭義のブルートフォース(総当たり)攻撃は、名前の通り、攻撃者が様々な組み合わせのアカウントIDとパスワードを総当たり的に試すことでパスワードを解読しようとする攻撃手法です。攻撃者は、あらゆる組み合わせ(文字や数字、特殊文字の組み合わせ)を順番に試し、正しいパスワードを見つけるまで繰り返します。ブルートフォース攻撃は非常に時間と計算能力を要するため、強力なパスワードに対しては非現実的な攻撃手法となります。
「総当たり」の亜種として「よく使われるアカウントID」と「よく使われるパスワード」の辞書を総当たりで試行する「辞書攻撃」があります。
一方、アカウントリスト攻撃では「(他のサービスで)有効だった可能性のあるアカウントIDとパスワードのリスト」を使用して、ログイン試行を行います。このようなリストはダークウェブ等で取引や公開がされており、過去の情報インシデントで流出したアカウント情報やブルートフォースに成功したアカウント情報などが含まれる場合があります。ユーザーの中には「サービス間でパスワードを使いまわしているユーザ」が一定数いると考えられるため、(攻撃者から見て)効率よく攻撃が成功すると期待できます。
なお、辞書攻撃やアカウントリスト攻撃はいずれも大量のログイン試行を行う事から「広義のブルートフォース攻撃」に含まれる場合があります。
アカウントリスト攻撃の対策として以下のような例が挙げられます。
サービスに関するお問い合わせ