サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 用語・国際規格 パスワードリスト攻撃|サクッと読めるセキュリティ用語解説

パスワードリスト攻撃|サクッと読めるセキュリティ用語解説

サクッと読めるセキュリティ用語解説 パスワードリスト攻撃
目次
  • パスワードリスト攻撃とは
  • パスワードリスト攻撃への対策方法

パスワードリスト攻撃とは

近年、パスワードリスト攻撃による会員向けWebサイトへの不正ログインの被害がしばしば発生しており、大きな問題となっています。この原因には、利用者の多くが複数のWebサイトで同一のユーザIDとパスワードを使いまわしている、という状況が深く関わっています。

パスワードリスト攻撃は、利用者の多くが複数のWebサイトで同一のユーザIDとパスワードを流用して使いまわしている状況に目を付けた攻撃です。会員向けWebサイトから何らかの手段で不正に入手したユーザIDとパスワードのリストを流用し、それらを自動的に入力するプログラムなどを用いることで、その他の会員向けのWebサイトへの不正ログインを試行します。ユーザIDとパスワードが流出したWebサイトとは別のWebサイトが被害対象となり得る点が特徴です。

パスワードリスト攻撃に使われるユーザIDとパスワードのリストは利用者のPCからではなく、会員向けWebサイトから盗み取られます。そのため、利用者やWebサイト管理者がいかにパスワードを厳重に管理していたとしても、複数のサイトで同一のパスワードを使い回している限り、この攻撃の被害を受ける可能性はあります。

パスワードリスト攻撃への対策方法

パスワードリスト攻撃への対策方法について、ユーザー側でできる対策と企業側でできる対策をそれぞれ紹介します。

ユーザー(利用者)側の対策

SMS認証などの多要素認証(Multi-factor Authentication)を有効化し、パスワードだけでは認証を突破できないよう真正性を確保する方法が効果的です。会員向けWebサイトに多要素認証が用意されている場合は、積極的に活用しましょう。根本的な対策としては、すべての会員向けWebサイトにおいて異なるパスワードを設定することが挙げられます。各Webサイトのパスワードはパスワード管理ソフトを使って安全に管理することができます。パスワード管理ソフトはWebブラウザやOSでも標準で用意されており、サードパーティー製品も様々な選択肢があります。その多くはパスワード管理だけでなく、パスワードをランダムに生成する機能も備えています。多要素認証の活用とパスワード管理ソフトを用いてセキュリティ対策をご検討ください。

企業(Webサイト提供社)側の対策

パスワードリスト攻撃の元となるユーザID、パスワードを漏洩させないための対策が必要です。定期的なWebアプリケーション診断によって、セキュリティリスクを可視化し対処することでWebサイトを常に健全な状態に維持することが重要です。また、近年はクラウド環境のプラットフォーム上でWebサイトを構築する例も多く、これらクラウドサービス内におけるアクセスコントロール設定の不備による情報漏洩、不正アクセス被害も後を絶ちません。利用しているクラウドサービスに適切なアクセスコントロールが施されているか、既知の脆弱性がないかを診断するクラウド診断の重要性も増してきています。「データをクラウド上に保存しているから漏洩の心配はない」と慢心することなく、パスワードリスト攻撃の発端にならないためにも、定期的なWebアプリケーション診断、クラウド診断によるリスクの可視化と対策の実施が重要です。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 海瀬 秀晃

国内某大手メーカーの社内VPNの運用・管理業務に携わり、ネットワークインフラ管理業務を経験。2013年よりサイバーセキュリティ業界に足を踏み入れる。2016年には国内初となるSaaS型 WAFの自社開発を実現し、商品化・販売を行う。2020年2月 株式会社SHIFT SECURITY入社し、Web脆弱性診断の診断品質を担保する業務に従事。情報処理安全確保支援士。恐妻家。三兄弟の父。

\ 記事をシェアする /

サービスに関する
お問い合わせ