セキュリティの
学び場

パスワードリスト攻撃とは

近年、パスワードリスト攻撃による会員向けWebサイトへの不正ログインの被害がしばしば発生しており、大きな問題となっています。この原因には、利用者の多くが複数のWebサイトで同一のユーザIDとパスワードを使いまわしている、という状況が深く関わっています。

パスワードリスト攻撃は、利用者の多くが複数のWebサイトで同一のユーザIDとパスワードを流用して使いまわしている状況に目を付けた攻撃です。会員向けWebサイトから何らかの手段で不正に入手したユーザIDとパスワードのリストを流用し、それらを自動的に入力するプログラムなどを用いることで、その他の会員向けのWebサイトへの不正ログインを試行します。ユーザIDとパスワードが流出したWebサイトとは別のWebサイトが被害対象となり得る点が特徴です。

パスワードリスト攻撃に使われるユーザIDとパスワードのリストは利用者のPCからではなく、会員向けWebサイトから盗み取られます。そのため、利用者やWebサイト管理者がいかにパスワードを厳重に管理していたとしても、複数のサイトで同一のパスワードを使い回している限り、この攻撃の被害を受ける可能性はあります。

パスワードリスト攻撃への対策方法

パスワードリスト攻撃への対策方法について、ユーザー側でできる対策と企業側でできる対策をそれぞれ紹介します。

ユーザー(利用者)側の対策

SMS認証などの多要素認証（Multi-factor Authentication）を有効化し、パスワードだけでは認証を突破できないよう真正性を確保する方法が効果的です。会員向けWebサイトに多要素認証が用意されている場合は、積極的に活用しましょう。根本的な対策としては、すべての会員向けWebサイトにおいて異なるパスワードを設定することが挙げられます。各Webサイトのパスワードはパスワード管理ソフトを使って安全に管理することができます。パスワード管理ソフトはWebブラウザやOSでも標準で用意されており、サードパーティー製品も様々な選択肢があります。その多くはパスワード管理だけでなく、パスワードをランダムに生成する機能も備えています。多要素認証の活用とパスワード管理ソフトを用いてセキュリティ対策をご検討ください。

企業(Webサイト提供社)側の対策

パスワードリスト攻撃の元となるユーザID、パスワードを漏洩させないための対策が必要です。定期的なWebアプリケーション診断によって、セキュリティリスクを可視化し対処することでWebサイトを常に健全な状態に維持することが重要です。また、近年はクラウド環境のプラットフォーム上でWebサイトを構築する例も多く、これらクラウドサービス内におけるアクセスコントロール設定の不備による情報漏洩、不正アクセス被害も後を絶ちません。利用しているクラウドサービスに適切なアクセスコントロールが施されているか、既知の脆弱性がないかを診断するクラウド診断の重要性も増してきています。「データをクラウド上に保存しているから漏洩の心配はない」と慢心することなく、パスワードリスト攻撃の発端にならないためにも、定期的なWebアプリケーション診断、クラウド診断によるリスクの可視化と対策の実施が重要です。