パスワードリスト攻撃とは?手口や対策について解説

  • セキュリティ

パスワードリスト攻撃とは?手口や対策について解説

株式会社SHIFT マーケティンググループ
著者 株式会社SHIFT マーケティンググループ

お役立ち資料

Introduction

パスワードリスト攻撃とは、IDとパスワードの認証を行うサービスにおいて、不正にログインを行うサイバー攻撃のひとつです。何らかの方法で入手したIDとパスワードのリストを使って、システムやサービスなどに不正ログインを行います。

この記事では、パスワードリスト攻撃とは何か、ID・パスワードの入手方法、パスワードリスト攻撃で起こる可能性がある被害や対策などについて解説します。

目次

パスワードリスト攻撃とは?

パスワードリスト攻撃とは

パスワードリスト攻撃とは、不正ログインを行う際の攻撃手法のひとつです。

ここでは、パスワードリスト攻撃とは何か、ID・パスワードを使ったそのほかの攻撃との違いについて解説します。

何らかの方法で入手したID・パスワードのリストを利用して不正アクセスを図る攻撃

パスワードリスト攻撃とは、何らかの方法で入手したIDとパスワードのリストを使って、システムやサービスなどに不正ログインを行う攻撃方法です。

日本個人情報管理協会(JAPiCO)の『第48回 リスト型攻撃』によると、パスワードリスト攻撃は以下のように定義されています。

パスワードリスト攻撃

何らかの方法で入手したIDとパスワードのリストを利用してサイトにアクセスを試み、合致した利用者のアカウントで不正にログインしてしまう攻撃である。

たとえば、本物のオンラインバンキングと、まったく同じようなサイトを使うフィッシング詐欺により、IDとパスワードの組みが盗まれることがあります。このIDとパスワードを使えば、該当のオンラインバンキングに不正にログインできてしまうでしょう。さらに、IDとパスワードを盗まれた人が、ほかのサービスでも同じIDとパスワードを使いまわしていれば、別のサービスにも不正ログインされる可能性があります。

ID・パスワードを使ったそのほかの攻撃との違い

IDとパスワードを使って不正にログインする攻撃方法は、ほかにもあります。

・ブルートフォース攻撃(総当たり攻撃)
ブルートフォース攻撃とは総当たり攻撃とも呼ばれ、ログインIDを固定してパスワードを総当たりし、不正にログインを試す方法です。

ツールなどを使って、パスワードとして考えられる組み合わせをすべて入力し、当たりのパスワードを入力できればログインできます。英字や数字などを使うパスワードの組み合わせは膨大な数になりますが、ツールを使えば全通りを試すことが可能です。

・リバースブルートフォース攻撃
リバースブルートフォース攻撃は、パスワードを固定してログインIDを総当たりして、不正にログインを試す方法です。パスワードとして使われることが多い「password01」や「123456」などを使い、IDを総当たりで順に試していきます。上記のブルートフォース攻撃の逆バージョンといえます。

ログイン認証には「3回パスワードを間違えたらロックし、一定時間ログインできなくなる」などのロック機能が実装されていることが多いです。そのため、パスワードを総当たりするブルートフォース攻撃は、実行しにくくなっています。しかし、IDの方を総当たりするリバースブルートフォース攻撃なら、ロック機能を回避できます。

ID・パスワードの入手のされ方

パスワードリスト攻撃を行うためには、パスワードのリストを入手する必要があります。ここでは、パスワードリスト攻撃を行う犯罪者がどのようにパスワードを入手するかをご説明します。

フィッシング詐欺による入手

フィッシング詐欺によって、IDとパスワードを入手する方法です。

フィッシング詐欺とは、オンラインバンキングやECサイトなど、IDとパスワードを盗むための偽のサイトを使った詐欺行為のことです。大手企業や公的機関などを装ったメールやSMSに、偽サイトに誘導するURLを添付して送りつけます。そのURLをクリックして偽サイトにアクセスし、ログインIDとパスワード、クレジットカード情報などを入力してしまうと、その情報が盗まれてしまうのです。

偽サイトや偽メールは非常に巧妙につくられており、本物のロゴや画像などを使って、まったく同じ構造や見た目になっています。騙されやすいため、注意が必要です。

▽あわせて読みたい▽
>>フィッシング詐欺とは?手口や被害による影響、企業ができる対策を解説のページへ

脆弱性をついた攻撃による入手

業務システムやWebサイトなどに脆弱性が存在している場合、その脆弱性をついてIDやパスワードを入手されることがあります。業務システムやWebサイトなどのセキュリティレベルが低く、サービスを利用するユーザーのログイン認証情報が盗まれてしまう事例は、後を絶ちません。

そのため、業務システムやWebサイトなどを運用する側も、日ごろから脆弱性対策を行っておく必要があります。

▽あわせて読みたい▽
>>脆弱性とは?その種類や放置する危険性、正しいセキュリティ対策について解説のページへ
>>脆弱性管理とは?脆弱性診断との違いや必要性、プロセスについて解説のページへ

ダークウェブでの入手

ダークウェブとは、一般的なインターネット空間ではなく、サイバー犯罪者が利用する通常ではアクセスできないネット空間のことです。フィッシング詐欺やサイバー攻撃などの不正な手段で得た個人情報や機密情報が、ダークウェブ上で売買されています。

サイバー攻撃を行う犯罪者たちは、ダークウェブ上でIDやパスワードのリストを入手して、犯罪行為を行うことがあります。

パスワードリスト攻撃で起こりうる被害

実際にパスワードリスト攻撃を受けると、どのような被害が起こるのでしょうか。ここでは、パスワードリスト攻撃を受けて、不正ログインされてしまった場合に起こりうる被害についてご説明します。

アカウントの不正使用

パスワードリスト攻撃で不正にログインされてしまうことにより、そのアカウントが第三者に不正使用されてしまう恐れがあります。

たとえば、ECサイトのアカウントを使って勝手に買い物をされてしまう、SNSにログインしてなりすまし被害にあうなどです。クレジットカード情報が登録されている場合は、金銭的被害が発生する可能性が高く危険です。また、個人情報を盗まれて、悪用される被害も考えられます。

Webサイトの改ざん

Webサイトの管理者アカウントのパスワードが見破られた場合、Webサイトが改ざんされてしまうことも考えられます。

とくに、企業サイトが改ざんされた場合、サイトを閉鎖して二次被害の有無の確認、サイトの復旧などを行うため、業務が滞ってしまいます。また、顧客や取引先としては、個人情報が流出したのではないかなど、不信感が高まるでしょう。セキュリティ対策が甘かったのではないかと、企業の信用問題にかかわります。

個人情報・機密情報の漏洩

ECサイトや会員サイトなどの個人のアカウントに不正ログインされると、個人情報が漏洩してしまいます。また、企業サイトなどから機密情報が流出するリスクもあります。

このように、業務システムや社内ネットワーク、Webサイトなどへの不正ログインが行われると、個人情報や機密情報が漏洩するため、非常に危険です。

金銭的な被害

上記でご説明したようなアカウントの不正使用、サイトの改ざん、個人情報や機密情報の漏洩などが起こると、金銭的な被害も発生します。

たとえば、ECサイトなどに不正ログインされることでクレジットカード情報が漏れ、高額な買い物をされてしまう可能性があります。また、企業サイトの改ざんや機密情報の漏洩などが起こると、企業イメージが失墜し、売上の減少や顧客離れなどが起きてしまうでしょう。その結果、サイトの復旧などにかかる金銭的被害以上の大きな損害を被ることもあります。

社会的信用の低下・喪失

企業のシステムやECサイトなどに不正ログインが発生した場合、その企業のセキュリティ対策に不備があったのではというイメージがついてしまいます。とくに、顧客情報を預かるECサイトのようなサービスを運営していた場合、信用の低下は避けられないでしょう。

パスワードリスト攻撃の被害にあわないための対策

パスワードリスト攻撃の被害にあわないための対策

パスワードリスト攻撃の被害にあわないようにするためには、どのような対策が必要なのかをご説明します。

ID・パスワードを使いまわさない

パスワードリスト攻撃を行う犯罪者は、不正に入手されたIDとパスワードの組を使って、さまざまなサービスやサイトに不正アクセスを試みます。このとき、同じIDやパスワードをほかのサービスでも使いまわしていると、そのサービスでも簡単に不正アクセスが成功してしまうでしょう。

そのため、管理が面倒であってもIDやパスワードは使いまわさず、まったく別のものを設定する必要があります。

複雑なパスワードを使用する

「password01」や「123456」などの単純なパスワード、人名や意味のある言葉を使うパスワードなどを利用すると、簡単に見破られてしまいます。複雑なパスワードを設定することで、セキュリティレベルが高まるでしょう。

休眠アカウントを廃止する

ずっと使っていないWebサイトやECサイトなどのアカウントを放置すると、危険です。このような休眠アカウントは、二段階認証などに対応していないなど、セキュリティレベルが低い設定のままであることが多いです。

また、知らないうちに不正ログインされており、被害に気づかない場合もあります。そのため、使っていないアカウントはロック状態にする、解約するなどの対処をしておきましょう。

多要素認証を利用する

IDとパスワードの組だけの認証方法だと、パスワードが見破られれば、簡単に不正ログインを許してしまいます。そのため、ワンタイムパスワードや生体認証など、ほかの要素を使用する認証方法を追加するとよいでしょう。多要素認証を採用することで、IDとパスワードを見破られても不正ログインされることを防げます。

多要素認証についてはこちらもご覧ください。
>>多要素認証(MFA)とは?認証方式の種類やメリットについて解説のページへ

WAFを活用する

Webアプリケーションファイアウォール(WAF)を導入することで、同一IPアドレスからの大量のアクセスを拒否するなどの対応が可能です。パスワードリスト攻撃は、特定のIPアドレスからパスワードを変えて何度もアクセスすることが多いため、WAFを活用することは非常に有効です。

脆弱性診断を行う

Webサイトやシステム、社内ネットワークなどの脆弱性をついて、IDやパスワードを不正に取得されることがあります。そのため、普段から脆弱性診断を行っておくことで、事前に対策を打つことが可能です。

脆弱性の有無を確認し、必要に応じて対策を講じておけば、脆弱性をついたサイバー攻撃を回避できるでしょう。

▽あわせて読みたい▽
>>脆弱性診断とは?診断の種類や必要な理由、やり方やツールについても解説のページへ

関連サービスについて

まとめ

この記事では、パスワードリスト攻撃とは何か、ID・パスワードの入手方法、パスワードリスト攻撃で起こる可能性がある被害、被害事例や対策などについて解説しました。パスワードリスト攻撃を回避するためには、パスワードを複雑にする、多要素認証を導入する、脆弱性診断を行うなどの対策が有効です。

SHIFTでは、脆弱性診断を行っています。Webアプリケーション診断やクラウド診断、エンドポイント診断など、豊富な診断メニューをご用意しています。国際基準に基づいた高品質で安定した診断を実現していますので、セキュリティ対策を強化したい場合はぜひご相談ください。

SHIFTの脆弱性診断サービスはこちらをご覧ください。
>>セキュリティ(脆弱性)診断サービスページへ

ご相談はこちらから
>>お問い合わせページへ
>>料金についてページへ

 

この記事を書いた人

株式会社SHIFT マーケティンググループ
著者 株式会社SHIFT マーケティンググループ

SHIFTは「売れるサービスづくり」を得意とし、お客様の事業成長を全力で支援します。無駄のないスマートな社会の実現に向けて、ITの総合ソリューションを提供する会社です。

サービスサイト:https://service.shiftinc.jp/
コーポレートサイト:https://www.shiftinc.jp/
X(旧Twitter):https://twitter.com/SHIFT_cp

ご支援業種

  • 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント

など多数

Top