パスワードリスト攻撃とは?初心者向けに徹底解説
生徒
「先生、パスワードリスト攻撃って聞いたんですけど、どんな攻撃なんですか?」
先生
「パスワードリスト攻撃(パスワードリストコウゲキ)は、過去に流出したユーザーIDとパスワードの組み合わせをリスト化して、他のサービスに不正ログインを試みる攻撃のことです。」
生徒
「じゃあ、一度どこかでパスワードが漏れると、別のサービスにも勝手に入られる危険があるんですか?」
先生
「その通りです。特に同じパスワードをいろいろなサービスで使い回していると、とても危険なんです。」
1. パスワードリスト攻撃とは?
パスワードリスト攻撃(パスワードリストコウゲキ)とは、インターネット上で流出したユーザー名やメールアドレスとパスワードを集め、それを使って他のサービスにログインを試みる攻撃のことです。この攻撃は人間の不注意を狙ったもので、特に「同じパスワードを複数のサービスで使う」という習慣が大きな弱点になります。セキュリティ(セキュリティ)の分野では代表的な攻撃手法として知られています。
2. パスワードリスト攻撃の仕組み
攻撃者はインターネット上で過去に流出したIDとパスワードを入手します。そのリストを使い、自動化されたプログラムで多くのWebサイトやアプリにログインを試みます。もし同じパスワードを使っていれば、簡単に不正アクセスが成功してしまいます。これは人間の「便利だから同じパスワードを使う」という心理を突いたソーシャルエンジニアリング(ソーシャルエンジニアリング)的な側面も持っています。
3. 辞書攻撃や総当たり攻撃との違い
パスワードリスト攻撃は、他の攻撃手法と混同されがちです。例えば「辞書攻撃(ジショコウゲキ)」は、よく使われる単語を試す方法で、「総当たり攻撃(ソウアタリコウゲキ/ブルートフォースアタック)」は可能な文字の組み合わせを片っ端から試す方法です。これに対して、パスワードリスト攻撃は「すでに実際に使われていたパスワード」を利用するため、成功率が非常に高いのが特徴です。
4. パスワードリスト攻撃の被害例
過去には有名なSNSやショッピングサイトでパスワードが流出し、その情報が他のサービスへの不正アクセスに悪用されたケースがあります。たとえば、あるサイトでメールアドレスとパスワードが漏れ、その組み合わせでネット銀行やオンラインショップに不正ログインされるという被害が起きました。このように、ひとつのサービスの流出が複数のサービスの被害につながるのが大きな問題です。
5. パスワードリスト攻撃を防ぐための対策
初心者でもできる基本的な対策は次の通りです。
- パスワードを使い回さない:サービスごとに違うパスワードを設定する。
- 二要素認証(ニヨウソニンショウ)を使う:パスワードだけでなく、スマートフォンの確認コードなどを組み合わせる。
- 定期的にパスワードを変更する:流出していても長期間使わないようにする。
- パスワード管理ツールを活用する:覚えきれない場合は専用アプリで安全に管理する。
特に二要素認証は効果的で、パスワードが知られても不正ログインを防げる可能性が高くなります。
6. 雑学:パスワードの歴史と人の心理
実は「パスワード」という概念はコンピュータより前から存在していました。軍隊や秘密結社では、仲間かどうかを確認するために合言葉を使っていました。現代のインターネットでも「合言葉」としての役割を果たしています。しかし人間は覚えやすさを優先して「誕生日」や「123456」といった単純なパスワードを使ってしまう傾向があります。攻撃者はこの心理を突き、リスト攻撃を効率的に仕掛けてくるのです。
7. 試験対策として覚えておきたいキーワード
ここまでの内容を整理すると、理解を助けるキーワードは以下の通りです。
- パスワードリスト攻撃(流出したパスワードを再利用する攻撃手法)
- 辞書攻撃(よく使われる単語を順番に試す方法)
- 総当たり攻撃(ブルートフォースアタック/すべての組み合わせを試す方法)
- 二要素認証(パスワード+確認コードで守る仕組み)
- パスワード使い回し禁止(最も基本的なセキュリティ対策)
これらをしっかり理解すれば、セキュリティに関する基礎力が身につきます。
