何らかの方法で事前に入手したIDとパスワードのリストを用いて、第三者が本人になりすましてログインを試みる不正アクセスの攻撃手法
パスワードリスト攻撃とは、第三者が利用者本人になりすまして、Webサービスなどへ不正にログインするための攻撃手法の一種。
IDとパスワードといったアカウント情報の「リスト」を、攻撃者が事前に何らかの方法で入手し、それを利用してログインを試みる。「アカウントリスト攻撃」「リスト型アカウントハッキング」とも呼ばれる。
複数のサービスで同じIDとパスワードの組み合わせを使い回している利用者を狙った攻撃であり、リストを用いて一気に多数のアカウントに攻撃をしかける。あらゆる組み合わせを試行することでパスワードを突き止める「ブルートフォース攻撃」と比べ、各アカウントにおける試行回数が少ないことが特徴となる。
「ブルートフォース攻撃」であれば、ログインの失敗を繰り返すことから、多数のエラーがログに残り、攻撃に気が付きやすい。またアカウントに対する試行回数を制限するといった対策を講じることができる。しかし、パスワードリスト攻撃は、アカウントに対するログインの試行回数そのものが少なく、エラーが発生しても正規ユーザーによる入力ミスなのか、第三者による攻撃なのかが、サービス運営者側から判断しにくい。特定のIPアドレスから複数のアカウントに対してログインの試行が繰り返し行われていないかチェックするなど、ブルートフォース攻撃とは異なる対策が必要となる。
影響
攻撃が成功すると、システムやサービスにログインされ、アカウントの乗っ取りやサービスが不正に利用される。
個人情報など登録している情報の窃取や改ざんのほか、SNSでは本人になりすましてメッセージ送信や投稿などが行われる。商品の購入、ポイントサービスなど利用など金銭的な被害が発生する恐れもある。
主な感染/被害の流れ
- 不正アクセスによりIDとパスワードを攻撃者が入手→入手したリストを用いて攻撃→使い回しが行われている別のサービスへ不正ログイン
- 管理ミスなどで外部流出したリストを攻撃者が入手→入手したリストを用いて攻撃→使い回しが行われている別のサービスへ不正ログイン
- フィッシングサイトでアカウント情報を窃取→入手したリストを用いて攻撃→使い回しが行われている別のサービスに不正ログイン
主な対策と注意点
ユーザー側の対策
- Webサイトや利用サービスごとに異なるIDとパスワードを使う
- 二段階認証が提供されている場合は利用する
- ログイン履歴が確認できる場合は、定期的にチェックして不審なログインの痕跡がないかを確認する
- フィッシング詐欺サイトに注意する
サービス運営側の対策
- 特定のIPアドレスから複数のアカウントに対してログインの試行が繰り返し行われていないかを監視する
- パスワードリスト攻撃に対応したWebアプリケーションファイアウォール(WAF)などを導入する
- 二段階認証やログイン通知、ログイン履歴の提供など、ユーザーが自分で不審なログインに気付けるしくみを提供する
- 自社のサービスからアカウント情報が流出しないように対策を徹底する。万が一、ユーザーのパスワードが漏洩した場合に備え、平文では保存せず、ソルトを追加した上でハッシュ化しておく。
ユーザーに対してパスワードの使い回しをやめるようアナウンスするなどの、啓発活動も事業者に求められている。
