《セキュリティ用語解説》パスワードリスト攻撃とは？大まかな説明付き。「生活とセキュリティ / LIFE+Security」

「生活とセキュリティ / LIFE+Security」シリーズでは、主に私たちの生活に密接に関わるセキュリティに関連した用語を解説致します。

今回のキーワードは「パスワードリスト攻撃」です。

大まかに説明すると
パスワードリスト攻撃とは？～"パスワードの使い回し"が命取り～
1. はじめに
2. 「パスワードリスト攻撃」の仕組み
なぜ、この攻撃が成功してしまうのか？
「自分は大丈夫」と思っていませんか？
最大・最強の対策は「使い回さない」こと
まとめ
本キーワードの関連情報

大まかに説明すると

「パスワードリスト攻撃」とは、攻撃者がどこかのサイト（例：A社）から流出したIDとパスワードの「リスト」を手に入れ、そのリストを使って他のサイト（例：B社、C社）で片っ端からログインを試みる攻撃です。

多くの人が複数のサイトで同じIDとパスワードを「使い回し」ているため、この攻撃は成功しやすいのです。

対策はただ一つ、「サービスごとに、すべて違うパスワードを設定する」ことです。

パスワード管理アプリを使うのも有効です。

パスワードリスト攻撃とは？～"パスワードの使い回し"が命取り～

はじめに

「不正アクセス」の中でも特に多く使われる攻撃手口の一つ、「パスワードリスト攻撃」について解説します。

「自分は複雑なパスワードを使っているから大丈夫」と思っている人も、もし「パスワードの使い回し」をしていたら、非常に危険です。

「パスワードリスト攻撃」の仕組み

この攻撃の名前を分解してみましょう。

「パスワードリスト」を「使った」「攻撃」です。

では、その「リスト」はどこから来るのでしょうか？

それは、「他のサイトから流出したIDとパスワードの一覧」です。

ニュースで「〇〇社から個人情報が流出」といった事件を聞いたことがありませんか？

攻撃者（悪い人たち）は、セキュリティの甘いどこかのWebサイト（A社とします）を攻撃し、そこに登録されていた大量のIDとパスワードのリストを手に入れます。

次に、攻撃者は何を考えるでしょうか？

「A社でこのIDとパスワードが使えたなら、この人はきっと、他のサイトでも同じものを使っているに違いない」

そこで攻撃者は、手に入れたリストを使って、有名なSNS（B社）や、ネットショッピングサイト（C社）、オンラインゲーム（D社）など、まったく別のサイトで、片っ端からログインを試みるのです。

これが「パスワードリスト攻撃」の仕組みです。

なぜ、この攻撃が成功してしまうのか？

理由はとてもシンプルです。
それは、「多くの人が、複数のサービスで同じIDとパスワードを使い回しているから」です。

例えば、皆さんが「A社」というあまり有名でないサイトに、よく使うメールアドレスと「pasu1234」というパスワードで登録したとします。

その後、A社のセキュリティが甘く、情報が流出してしまいました。

攻撃者は、あなたの「メールアドレス」と「pasu1234」という組み合わせを知ってしまいます。

そして、その組み合わせを皆さんが使っていそうな有名なSNS（B社）で試します。もし皆さんがB社でも「pasu1234」を使い回していたら…？

そうです。

攻撃者は簡単にB社のアカウントに「不正アクセス」できてしまい、結果として「アカウント乗っ取り」につながってしまうのです。

「自分は大丈夫」と思っていませんか？

「でも、たくさんのパスワードを覚えるのは無理…」

「管理が面倒だから、つい同じものを使ってしまう…」

その気持ちは、とてもよく分かります。現代では、一人で何十ものサービスに登録しているのが当たり前ですから。

しかし、攻撃者はまさにその「面倒くさい」という心理につけ込んできます。

たった一つのサイトから情報が漏れただけで、あなたの使っている他のすべてのアカウントが危険にさらされるのです。

最大・最強の対策は「使い回さない」こと

では、この怖いパスワードリスト攻撃から身を守るには、どうすればいいのでしょうか？

対策は、実はたった一つしかありません。

「サービスごとに、すべて違うパスワードを設定する」

これだけです。

もしA社からパスワードが漏れても、B社やC社ではまったく違うパスワードを使っていれば、攻撃者はリストを使ってもログインできません。

「そんなの無理！」と思う人には、「パスワードマネージャー（パスワード管理アプリ）」の利用をおすすめします。

これは、使うサイトごとに複雑なパスワードを自動で作成し、安全に記憶・管理してくれるアプリです。

あなたが覚えるのは、そのアプリを開くための「マスターパスワード」一つだけです。

スマホの機能（キーチェーンなど）にも搭載されています。

まとめ

「パスワードリスト攻撃」は、「パスワードの使い回し」という多くの人がやってしまいがちな習慣を狙った、非常に効率的で危険な攻撃です。

どれだけ複雑なパスワードでも、使い回していたら意味がありません。今日から、「パスワードは使い回さない」ことを徹底し、必要であればパスワードマネージャーの導入も検討してみてください。

本キーワードの関連情報

今回のキーワードは、以下カテゴリで分類しています。

カテゴリ：私たちの生活に密接に関わるセキュリティ

アカウントと認証

目標「オンラインサービスを安全に利用するための基本を理解する。」

ここまで読んで頂いて、誠にありがとうございます。今後ともどうぞよろしくお願い致します。