パスワードリスト攻撃は、攻撃者が事前に入手した大量のIDとパスワードのリストを使用して、対象のアカウントに不正アクセスを試みる攻撃手法です。この攻撃は、流出したパスワードのリストや、一般的によく使われるパスワードを集めたリストを利用します。
クレデンシャルスタッフィング攻撃も同様の攻撃手法ですが、自動化ツールを利用して認証情報を高速で試行することに特化した概念です。
仕組み
- パスワードリストの入手:攻撃者は、過去のデータ漏洩事件で流出したパスワードリストや、フィッシング詐欺などで入手したパスワードリストを使用します。
- 自動化ツールの使用:攻撃者は専用のツールを使用して、リストに含まれるパスワードを自動的に試行します。
- 不正アクセスの成功:リストに含まれるパスワードが一致した場合、攻撃者はそのアカウントにアクセスし、個人情報の窃取や不正送金などを行います。
被害内容
- 個人情報の漏洩:メールアドレス、住所、電話番号、クレジットカード情報などが漏洩する危険性があります。
- 不正アクセスとアカウント乗っ取り:攻撃者がアカウントを乗っ取り、スパムメールの送信や不正なコンテンツの投稿を行います。
- 金銭的被害:オンラインバンキングやショッピングサイトで不正送金や不正購入が行われることがあります。
対策
- 強力なパスワードの使用:推測されにくい強力なパスワードを使用し、定期的に変更します。
- パスワードの使い回しを避ける:異なるサービスごとに異なるパスワードを使用します。
- 多要素認証(MFA)の導入:パスワードに加えて、追加の認証手段を導入することでセキュリティを強化します。
- セキュリティソフトの利用:不正アクセスを検知し、ブロックするセキュリティソフトを導入します。
パスワードリスト攻撃の具体的な事例
- ユニクロ・ジーユーオンラインストア:2019年5月、ユニクロ・ジーユーオンラインストアがパスワードリスト攻撃の被害に遭い、約46万件のアカウントが個人情報流出の被害を受けました。
- ドコモオンラインストア:2018年8月、ドコモオンラインストアがパスワードリスト攻撃の被害に遭い、約1,000件のアカウントが不正アクセスされ、iPhone端末が不正購入されました。
パスワードリスト攻撃は、適切な対策を講じることで防ぐことができます。セキュリティ対策を徹底し、アカウントの安全性を確保しましょう。
