パスワードリスト攻撃
パスワードリスト攻撃とは
パスワードリスト攻撃とは、何らかの方法であらかじめ入手してリスト化したIDとパスワードを利用し、Webサイトへの不正アクセスを試みるという攻撃方法です。「アカウント リスト攻撃」あるいは「リスト型アカウント ハッキング」と呼ばれることもあります。
ブルートフォース攻撃・辞書攻撃に比べると同一IDでの試行回数が極めて少ないため、Webサイト側での検知が難しい攻撃だと言えます。
パスワードリスト攻撃の原因とは
パスワードリスト攻撃の被害を受けてしまう原因として、ユーザーの「ID・パスワードの使いまわし」が挙げられます。
パスワードリスト攻撃は、ユーザが複数のWebサービス(オンライン サービス)に対し、同じアカウント情報を使いまわしている場合に、被害を受けやすい攻撃だといえます。これによってオンラインサービスへの不正アクセスが成功すると、攻撃者はその利用者のアカウントを乗っ取り、個人情報を搾取することが可能になります。
ブルートフォース攻撃・辞書攻撃との違い
パスワードリスト攻撃とよく混在されるのが「ブルートフォース(総当たり)攻撃」と「辞書攻撃(ディクショナリアタック)」です。
「ブルートフォース(総当たり)攻撃」は、その名の通り、パスワードに使われると推測される文字列全てを総当たり式に当てはめていく方法です。
例えば、4桁のパスワードであれば、アルファベット、数字、記号、すべての考えられるパターンを総当たりで入力していきます。
「辞書攻撃(ディクショナリアタック)」は、主にパスワードを不正に入手するために用いられ、パスワードに使用されることの多い単語や人名を組み合わせ、繰り返しログインを試行するという方法です。ブルートフォース攻撃と比較して、辞書攻撃は、限られた文字列を使用するため、比較的短時間でパスワードを見つけ出せるという特徴があります。
これらの方法は、もちろん人間が行うと膨大な時間がかかるため、ロボットが実施しますが、「総当たり」のため、ログイン試行回数が多くなり、不正アクセスの検出は比較的容易でした。
この点、パスワードリスト攻撃は、ログイン試行回数が少ないため、正規アクセスとの判別が難しいのです。
パスワードリスト攻撃の被害事例
パスワードリスト攻撃の被害事例としては、以下が挙げられます。
・2019年7月、セブン&アイ・ホールディングスが取り組んだQRコード決済サービス「7pay」で不正アクセスによる金銭的な被害が発生し、サービスを廃止せざるを得ないインシデントが発生。
・2020年9月、NTTドコモの「ドコモ口座」を不正利用して他人の預金口座からお金を引き出すという事件。
パスワードリスト攻撃の対策
パスワードリスト攻撃の最も効果的な対策方法は、複数のWebサービスでパスワードの使い回しを行わないことです。
一方、Webサイト側では、同一IPアドレスから複数IDへのログイン試行が行われていないか、いつもとは異なる場所(国)からログイン試行が行われていないか、等を検知できる仕組み等が求められます。
アプリケーション レイヤを防御するWebアプリケーション ファイアウォール(WAF)を利用することで、このような対策が取りやすくなります。
その他、パスワードリスト攻撃が増加している背景や、パスワードリスト攻撃を対策する最新のAIツールのご紹介、関連資料などは以下よりご覧いただけます。 是非ご覧ください。
>パスワードリスト攻撃とは?対策ツール「Shape Security」もご紹介
>【DL資料】Shape Security サービス資料
>F5のWAFソリューション「Advanced WAF」
>【DL資料】Advanced WAF サービス資料
