パスワードリスト攻撃（Password List Attack）

他のサイトなどで流出したIDとパスワードのリストを使って、ログインを試みる攻撃手法のこと

簡単な説明

パスワードリスト攻撃ってのは、バレたパスワードを別のサイトでも使ってログインされちゃうやつ。
同じパスワード使い回してると、いろんなサービスがまとめて乗っ取られちゃう。
対策は、パスワードの使い分け＆2段階認証が鉄板！

由来

インターネットサービスの利用が増えるにつれて、ユーザーが複数のサービスで同じパスワードを使い回す傾向が出てきました。攻撃者は、どこかのサービスから漏えいしたID・パスワードのリスト（パスワードリスト）を使って、他のサイトにもログインできるかを自動で試す攻撃を行います。これを「パスワードリスト攻撃（Password List Attack）」と呼びます。

具体的な説明

パスワードリスト攻撃は、たとえば「あるネットショップ」から流出した「メールアドレス＋パスワード」の組み合わせを、他の「SNS」や「動画配信サイト」などに使ってログインを試す行為です。IDとパスワードのペアを自動で入力するプログラム（ツール）を使い、大量のアカウントに短時間でログインを試みるのが特徴です。

たとえば、Aくんが「ゲームサイト」で使っているパスワードと、YouTubeのパスワードが同じだったとします。ある日、そのゲームサイトからパスワードが漏れてしまい、悪い人がそれを見つけました。悪い人は「Aくんは他のサイトも同じパスワードを使っているかも？」と考えて、同じパスワードをYouTubeで試してみます。これでログインできてしまったら、その人はAくんになりすまして動画を見るふりをしたり、勝手にコメントを書いたりできてしまいます。

パスワードリスト攻撃は、「クレデンシャルスタッフィング（Credential Stuffing）」とも呼ばれ、特にWebアプリケーションに対して行われるブルートフォース（総当たり）攻撃の一種です。APIエンドポイントなどへの高頻度アクセスにより、ID・パスワードのペアが正しいかを検証し、成功すれば不正ログインが成立します。多くの場合、ボットネットやプロキシを用いて攻撃元IPアドレスを分散し、WAF（Web Application Firewall）による検出を回避します。

具体的な実験や観察手法と結論

観察手法例：
実際の攻撃対策実験では、架空のユーザーアカウントを複数作成し、既知のパスワードリストに基づいてログイン試行を行います。ログを解析すると、数百件〜数千件の試行が短時間に集中して行われていることが確認されました。

結論：
パスワードの使い回しは重大なセキュリティリスクであり、多要素認証（MFA）の導入やログイン試行回数の制限によって、ある程度防止可能であることがわかっています。

例文

「弟が同じパスワードを5つのアプリで使っていたら、ひとつがパスワードリスト攻撃を受けただけで、他の4つも危ないってことだよ。」

疑問

Q: パスワードリスト攻撃って自分にも起こる可能性がありますか？

A: はい、あります。多くの人が同じパスワードを複数のサイトで使っているため、ひとつが漏れると他も危険になります。

Q: どうしてパスワードが流出してしまうのですか？

A: サイトのセキュリティが甘かったり、ウイルスや不正アクセスによってパスワードが盗まれることがあります。

Q: 自分のパスワードが使われたかどうかを調べる方法はありますか？

A: はい、「Have I Been Pwned」などのサイトで、自分のメールアドレスが漏洩したことがあるか確認できます。

Q: どんな対策をすればこの攻撃を防げますか？

A: サイトごとに違うパスワードを使い、多要素認証（MFA）を設定するのが効果的です。

Q: パスワードマネージャーを使っても大丈夫ですか？

A: はい、安全性の高いパスワードマネージャーを使うことで、パスワードの管理がしやすくなり、安全性も向上します。

理解度を確認する問題

検定で出題されそうな選択式問題

問題：パスワードリスト攻撃の説明として最も適切なものはどれか。

A. IDとパスワードを順番にすべて試す攻撃
B. 一つのパスワードを多数のIDに対して試す攻撃
C. 流出したIDとパスワードの組み合わせを他のサービスで試す攻撃
D. パスワードをコンピュータで解読する攻撃

正解：C

まとめ

パスワードリスト攻撃とは、流出したIDとパスワードを使って他のサービスに不正ログインを試みる攻撃です。
同じパスワードを使い回すと、この攻撃で複数のサービスが乗っ取られる可能性があります。
防ぐには、サービスごとに異なるパスワードを設定し、多要素認証を使うことが大切です。