パスワードリスト攻撃とは、攻撃者が不正な手段で入手したユーザIDとパスワードを用いて、さまざまなWebサイトやサービスに不正なログインを試みる攻撃です。不正ログインにより、金銭被害や個人情報の流出、社会的信用の失墜などが発生します。

パスワードリスト攻撃は、古くからある攻撃手法ですが、正規のWebサイトやサービスに正規のユーザIDとパスワードでログインするため、正規ログインと不正ログインの見分けがつきません。そのため、対策が非常に困難な攻撃です。

ユーザIDとパスワードの主な入手経路については、以下の通りです。

一旦、流出したユーザIDとパスワードは、別のパスワードリスト攻撃に利用されるおそれがあります。パスワードリスト攻撃は、自動化ツールやボットといった技術を用いて進歩しています。総務省の発表では、令和5年における不正アクセスの認知件数は前年比、186.9%増の6,312件となりました。

パスワードリスト攻撃には、さまざまな方法があり、攻撃に成功した場合は、氏名や住所などの個人情報の盗難、クレジットやポイントを不正利用、SNSへの不適切な投稿など、あらゆる被害を受けるおそれがあります。ここでは代表的なパスワードリスト攻撃を5つ紹介します。

クレデンシャル・スタッフィングとはクレデンシャル（認証情報）を、スタッフィング（場当たり的に検証する）し、不正ログインできるまで繰り返すパスワードリスト攻撃の一種です。不正に収集した大量のユーザIDとパスワードを用いて、自動化ツールやボットにより、不正ログインを大量に試みます。

あらかじめ、ユーザIDとパスワードのペアを用意しているため、1ユーザIDあたりの不正アクセス数は1回であることが多く、不正アクセスと見抜くことが難しい攻撃です。

辞書攻撃とは、辞書に掲載されている単語を組み合わせて、パスワードとして使用するパスワードリスト攻撃の一種です。不正ログインできるまで、さまざまな組み合わせを試します。ユーザはパスワードを忘れないために、特定の単語や語句を使用している場合があり、そのようなユーザ心理を利用したパスワードリスト攻撃の一種です。

1ユーザIDあたりのログイン試行が非常に多いことが特徴です。

総当たり攻撃とは、パスワードリスト攻撃の原点ともいえるパスワードリスト攻撃の一種です。ブルートフォース攻撃とも呼ばれます。特定のログインIDに対して、あらゆる限りのパスワードの組み合わせを、不正ログインできるまで繰り返す攻撃です。例えば、数字4桁のパスワードの場合、0000、0001、0002のように1文字ずつ変えてログインできるまで繰り返します。

そのため、1ユーザIDあたりのログイン試行が非常に多いことが特徴です。

リバースブルートフォース攻撃とは、ブルートフォース攻撃の逆でパスワードを固定し、あらゆるIDを組み合わせてログインできるまで繰り返す攻撃です。「逆総当たり攻撃」とも呼ばれます。リバースブルートフォース攻撃も、

1ユーザIDあたりの不正アクセス数は1回であることが多く、不正アクセスと見抜くことが難しい攻撃です。

パスワードスプレー攻撃は、不正に収集したパスワードを、複数のアカウントで繰り返し試す、パスワードリスト攻撃の一種です。例えば、「password」というパスワードを入手したときは、パスワード「password」は固定し、ユーザIDを変えながら不正ログインできるまで繰り返します。

1ユーザIDあたりの不正アクセス数は1回であることが多く、不正アクセスと見抜くことが難しい攻撃です。

ユーザIDとパスワードを盗難されると、パスワードリスト攻撃の標的となる恐れがあります。つまり、ユーザIDとパスワードを盗まれることが、パスワードリスト攻撃の被害にあう原因です。ここではパスワードリスト攻撃の被害にあう原因を2つ紹介します。

ユーザIDやパスワードを盗難するために、以下の攻撃を仕掛けられるおそれがあります。

パスワードリスト攻撃では、盗んだユーザIDとパスワードを使って、別のWebサイトでもログインを試みます。そのため、複数のWebサイトやサービスで同じユーザIDとパスワードを使っていると不正ログインされる原因となります。

近年のトレンドでは、長く複雑なパスワードを作成し、複数サイトで利用するといった流れになっていますが、長く複雑なパスワードを使い、サイトごとに使い分けるのが最も安全です。

パスワードリスト攻撃の不正ログインにより、さまざまな被害が発生します。ここでは、パスワードリスト攻撃で受ける被害を5つ紹介します。

サービス運営企業は、セキュリティが甘いと認知され、社会的信用が失墜します。社会的信用の失墜により、機会の損失が発生したり、他社のサービスに移行されたりして、金銭被害も発生します。

パスワードリスト攻撃で不正ログインされても、サービス提供側は正規ログインと見分けがつきません。そのため、銀行口座から不正送金や、クレジットを使った不正購入が行われるおそれがあります。

パスワードリスト攻撃で不正ログインされたのちに、氏名や電話番号などのユーザ情報を盗まれるおそれがあります。また、不正ログイン先が、ビジネスで利用する外部ストレージやクラウドサービスであれば、取引先の情報、内部戦略や、従業員情報などの機密文書が盗まれ、流出する原因となります。

パスワードリスト攻撃で不正ログインにあった場合、顧客に金銭被害や、情報漏洩といった被害が発生します。サービス運営企業は、セキュリティの管理不足を指摘され、民事・刑事上の責任が発生するおそれがあります。この場合、多額の対策費や、時間がかかります。

パスワードリスト攻撃で不正ログインされ、SNSで不適切な投稿や、不適切なメッセージを送信されると、SNSアカウントの本来の持ち主である、ユーザや企業の信用を失うおそれがあります。また、他者に対して誹謗中傷し、相手の信用も失墜させる原因となります。

パスワードリスト攻撃は、自動化ツールやボットにより、被害が瞬く間に大きくなるケースが少なくありません。また、何度も繰り返し被害を受けるケースもあります。ここでは、パスワードリスト攻撃で受ける被害を12事例紹介します。

2023年3月、転職者向けWebサイトへ、不正に入手したと思われるユーザIDとパスワードを使用したパスワードリスト攻撃が発生しました。このパスワードリスト攻撃で25万人を超えるユーザの履歴書に不正アクセスされた可能性があります。通常を大きく上回るログインが確認され、複数のIPアドレスから大量のログインが試行されたことが判明しました。

当該IPアドレスからの通信を遮断した上で、不正アクセスされた可能性のあるアカウントのパスワードを一旦リセットし、パスワードの再設定を個別に連絡する事態となりました。

2022年7月、ドラッグストアのECサイトに、海外のIPアドレスから大量の不正アクセスが行われ、19,000件を超える顧客情報が流出しました。他社サービスから流出したと思われるユーザIDとパスワードを利用した、パスワードリスト攻撃と推定されています。不正なIPアドレスからの通信を遮断する対策がとられました。

2020年9月、NTTのドコモ口座を不正利用して、他人の預金口座から不正に預金を引き出すという事例が発生しました。被害件数は127件、被害総額は約2,900万円とされています。ドコモ口座はメールアドレスだけで開設でき、「口座番号」「名義」「暗証番号」を登録すれば、被害者の「銀行口座」と攻撃者の作成した「ドコモ口座」が紐付けられます。紐付けされれば、ドコモ口座にチャージすることで、銀行口座の預金が不正に引き出される仕組みになっていました。

この事例では、攻撃者がリバースブルートフォース攻撃やパスワードスプレー攻撃を使った可能性が指摘されています。

2019年8月、大手スポーツ用品販売企業の顧客管理システムに、大量の不正ログインが発生し、保有していたポイントが不正に利用されるという事例が発生しました。不正に利用されたポイントは43万ポイントに上り、ユーザによっては登録内容の改ざんも発生しています。

原因は他社サービスから流出したログインIDとパスワードを使った、パスワードリスト攻撃と推定され、不正ログインの可能性のあるアカウントを一旦無効化し、パスワードの再設定を個別に連絡する事態となりました。

2019年7月、セブンアイ&ホールディングスが開始したスマートフォン決済サービス「7pay」にて不正なログインが行われ、クレジットカードなどから不正にポイントがチャージされる事例が発生しました。被害件数は808人、被害総額は約3,900万円に上りました。

原因は他社サービスから流出したログインIDとパスワードを使った、海外からのパスワードリスト攻撃と推定されていますが、明確な原因は判明していません。

スマートフォン決済サービス「7pay」は2か月後の9月にサービスを停止する事態となりました。

2019年4月、ユニクロ・GUのオンラインストアに不正ログインが発生しました。不正にログインされたユーザは約46万アカウントに上りましたが、金銭被害は確認されていません。

原因は、他社サービスからの流出したユーザIDとパスワードを用いた、パスワードリスト攻撃と推定され、不正ログインのあった46万アカウントを一旦無効化し、パスワードの再設定を個別に連絡する事態となりました。

2018年7月、ドコモオンラインストアに不正アクセスが発生し、「iPhoneX」が不正に購入される事例が発生しました。被害件数は約1,800アカウント、約1,000台の「iPhoneX」が不正に購入されました。カード情報を入力しなくても、ログインしただけで「iPhoneX」を購入できる仕様が不正購入の原因と考えられています。

不正アクセスの原因としては、他社サービスからの流出したユーザIDとパスワードを用いた、パスワードリスト攻撃と推定されています。

2018年6月に発生したパスワードリスト攻撃で、1938件のユーザに不正ログインの試行があり、490件のユーザが不正にログインされました。このパスワードリスト攻撃の精度は非常に高く、ディノス・セシールで顧客登録のある「有効なID」のみが攻撃対象となっていました。

ディノス・セシールの顧客リストが漏洩した形跡はなく、二重登録を防止するために新規会員登録時に行われていた「登録済みIDはエラー表示する」機能を悪用され、登録済みのIDのみを選び出す「リストのスクリーニング」が行われたと想定されています。

2016年10月、楽天市場に不正アクセスが発生し、不正にポイントを使われ、商品を購入される事例が発生しました。原因は、不正に入手したユーザIDとパスワードを使用した、パスワードリスト攻撃です。

2014年5月に発生したパスワードリスト攻撃で、同一の攻撃元より約220万回の不正ログインの試行があり、約22万IDで不正ログインが行われました。被害件数は19アカウント、被害総額はニコニコポイント 173,610円に上りました。

この攻撃により以下の被害が発生し、金銭的被害の発生したコンテンツの課金停止、不正ログインされたアカウントの課金取引機能の一時停止が行われました。

パスワードリスト攻撃により、インターネットバンキングに不正ログインされ、利用者の口座から不正送金が行われました。利用者には「送金が完了しました」とメール通知がありましたが、迷惑メールに振り分けられており、気づいたのは1か月後でした。当該銀行の、補償対象外となる「発見や通報が遅れた場合」の事例に該当したため、補償はありませんでした。

利用者の不注意で漏洩した場合など、利用者の過失がある場合は補償されないおそれがあります。

パスワードリスト攻撃により、大手通販サイトに不正ログインされ、ポイントを使って不正に商品を購入されました。不正アクセスによるものであっても、ポイントは補償対象外であったため、補償がありませんでした。更に、ユーザIDとパスワードを使いまわしていたため、別の4つの通販サイトでも不正ログインされ、ポイントが不正に利用される被害となりました。

パスワードリスト攻撃は、正規のWebサイトやサービスに正規のユーザIDとパスワードでログインするため、正規ログインと不正ログインの見分けがつきません。そのため、不正ログインを成立させない方法を中心に対策する必要があります。ここでは、パスワードリスト攻撃の対策方法を10個紹介します。

パスワードリスト攻撃の対策方法として、複雑なパスワードの使用がきわめて有効です。攻撃者が解読しづらくなり、不正ログインが防ぎやすくなるだけでなく、パスワードの漏洩や流出といったリスクを低減できます。内閣サイバーセキュリティセンター（NISC）では英大文字（26種類）、英小文字（26種類）、数字（10種類）、記号（26種類）の計88種類をランダムに使い、10桁以上を「強いパスワード」として推奨しています。

インターネットの安全・安心ハンドブック - NISC 　P32　参照

パスワードリスト攻撃の対策方法として、ログインIDとパスワードを使い回さないことが有効です。あるサービスでログインIDとパスワードが漏洩、流出しても、他のサービスに不正ログインできず、被害を最小限に抑えられます。また、サービス提供側としては、ログインIDとパスワードを使い回さないように呼び掛ける方法も有効です。

総当たり攻撃（ブルートフォース攻撃）や辞書攻撃は、1ユーザIDに大量のログインが試行されます。そのため、銀行のキャッシュカードが3回パスワードを間違えるとロックされるように、一定回数ログインを失敗すると、アカウントをロックする方法が有効です。

パスワードリスト攻撃の対策方法として、2要素認証を用いることが極めて有効です。2要素認証とは、以下の認証要素の中から、2種類を選んで認証を行う方法です。3種類全てを用いる場合は多要素認証と呼ばれます。所持情報と生体情報は、ユーザだけが持つ情報のため、パスワードリスト攻撃に対して特に有効です。

2段階認証とは、本人確認を2回に分けて行う認証方式です。Webサイトやサービスにログインする際に、ユーザIDとパスワードだけではなく、ワンタイムパスワードやトークンなどの本人しか持ちえない情報を認証に利用することが有効な方法です。

パスワードリスト攻撃の対策方法として、使わずに放置されている「休眠アカウント」を廃止することが有効です。「休眠アカウント」は内部からの不正により、アカウントを乗っ取られたり、情報を漏洩されたりといったリスクがあります。だれが、どのIDを、どの端末で利用されているかを把握する資産管理ソフトウェアなどの利用して、適切にアカウントを管理することが重要です。

パスワードリスト攻撃の原因となる、ログインIDやパスワードの漏洩を防止するために、ユーザIDやパスワードをパソコンに保存せず、紙面やメモに控えるのも有効です。更にユーザIDとパスワードを別々に書くと更に有効になります。ただし、紙の紛失や盗難の恐れがあるため、第三者に知られない場所や、第三者が見てもわからないように書く必要があります。

パスワードリスト攻撃の対策方法として、パスワード管理ソフトを使うことも有効です。パスワード管理ソフトは、「利用しているログインIDとパスワード」とパスワード管理ソフトを呼び出す「マスターパスワード」から成り立ちます。あるサービスを使う場合は、ユーザは「マスターパスワード」を入力すれば、パスワード管理ソフトが対象のログインIDとパスワードを呼び出してくれます。そのため、「マスターパスワード」のみを覚えればよく、複雑なパスワードを複数覚える必要がありません。

パスワードリスト攻撃の対策方法として、ログインIDとパスワードを記録したリストを「パスワード付き電子ファイル」として保存する方法も有効です。ユーザは電子ファイルのパスワードのみを覚えればよく、複雑なパスワードを複数覚える必要がありません。

ただし、テキストファイルはパスワードが設定できないため、ZIPファイルなどで圧縮する際に、パスワードを設定します。

サービス提供側のみの対策ですが、パスワードリスト攻撃の対策方法として、WAF（ Web Application Firewall）を導入するのも有効です。WAFにより同一のIPアドレスから大量のログイン試行がないか、いつもとは違う国からログイン試行がないかなどを検知し、ブロックできます。また、WAFには同一IPアドレスから、複数のログインIDに大量アクセスがあった場合に、強制的にログイン失敗ページに遷移するものもあります。

パスワードリスト攻撃は、どれだけ対策を施しても、不正ログインの試行を止められません。一旦、ユーザIDやパスワードが流出すると、別の不正ログインに利用されるおそれもあります。複雑なパスワード設定や、パスワードの使いまわしをしないといった、パスワードリスト攻撃の対策を実施し、不正なログインを成立させないことが重要です。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。