対象試験と出題頻度
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)
用語の定義
パスワードリスト攻撃とは、一言で言うと「どこかのサービスで流出したID・パスワードの組み合わせを使って、別のサービスに不正ログインを試みる攻撃」のことです。
イメージとしては、「Aさんの家の合鍵を手に入れた泥棒が、『同じ鍵を会社や車にも使っているかも』と考えて、次々と試してみる」ようなものです。
多くの人が複数のサービスで同じパスワードを使い回しているため、1か所で流出すると芋づる式に他のサービスも突破されてしまう危険な攻撃です。
📊 パスワードリスト攻撃の流れ
| STEP 1 | サービスAから大量のID・パスワードが流出 |
|---|---|
| STEP 2 | 攻撃者が流出リストを入手(ダークウェブなどで売買) |
| STEP 3 | 別のサービスに同じID・パスワードでログイン試行 |
| STEP 4 | パスワードを使い回していたユーザーのアカウントが乗っ取られる |
解説
パスワードリスト攻撃(Password List Attack / Credential Stuffing)は、過去にどこかのWebサービスから流出したID(メールアドレス)とパスワードの組み合わせリストを使って、別のサービスへの不正ログインを試みる攻撃です。「クレデンシャルスタッフィング」「アカウントリスト攻撃」とも呼ばれます。
- ブルートフォース攻撃・辞書攻撃との違い:ブルートフォース攻撃や辞書攻撃はパスワードを「推測」しますが、パスワードリスト攻撃は実際に使われていた正しいパスワードを使います。そのため、複雑なパスワードでも使い回していれば突破されてしまいます。
- 高い成功率:調査によると、約65%のユーザーが複数のサービスで同じパスワードを使い回しているとされています。そのため、流出リストを使った攻撃は0.1〜2%程度の成功率があり、数百万件のリストを使えば数万件の不正ログインが成功してしまいます。
💡 なぜこの攻撃が特に危険なのか?
パスワードリスト攻撃は、IPAの「情報セキュリティ10大脅威」で「インターネット上のサービスへの不正ログイン」として毎年ランクインしている深刻な脅威です。
この攻撃の怖さは、自分が利用していないサービスの情報漏えいが、自分のアカウント乗っ取りにつながる点にあります。
例えば、10年前に登録して忘れていたサービスから流出したパスワードが、今使っている銀行やSNSへの不正アクセスに悪用されるのです。
近年、大規模な情報漏えい事件が頻発しており、数億件規模のID・パスワードがダークウェブ上で売買されています。Have I Been Pwnedというサービスによると、2024年時点で100億件以上のアカウント情報が流出・公開されているとされています。攻撃者はこれらのリストを自動化ツールで大量に試行するため、流出から数時間で被害が発生することもあります。
具体的な活用例・対策
パスワードリスト攻撃への対策は、パスワードの使い回しをやめることが最も重要です。
システム側の対策も組み合わせることで、被害を防げます。
- サービスごとに異なるパスワードを設定: 最も根本的な対策です。すべてのサービスで異なるパスワードを使用すれば、1か所で流出しても他のサービスに影響しません。パスワードマネージャーを活用すると、複雑なパスワードを各サービス用に生成・管理できます。
- 多要素認証(MFA)の有効化: パスワードに加えて、ワンタイムパスワード、生体認証、セキュリティキーなどを設定します。たとえパスワードが流出しても、追加認証を突破できなければ不正ログインを防げます。最も効果的な対策です。
- 流出チェックサービスの活用: 「Have I Been Pwned」などのサービスで、自分のメールアドレスやパスワードが過去の漏えい事件に含まれていないか確認できます。流出が判明したら、即座にパスワードを変更しましょう。
- パスワードの定期的な確認・変更: 重要なサービス(金融機関、メールなど)のパスワードは定期的に確認し、流出の兆候があれば変更します。
- ログイン通知の有効化: 新しいデバイスや場所からのログイン時に通知を受け取る設定を有効にし、不正アクセスを早期に検知します。
⚠️ 実務でのポイント(システム管理者向け)
システム管理者は、ユーザー登録・ログイン時に「流出済みパスワードデータベース」との照合を実装することを検討してください。
Have I Been PwnedはAPIを公開しており、ユーザーが過去に流出したパスワードを設定しようとした場合に警告を表示できます。
また、通常と異なるIPアドレスやデバイスからのログイン試行を検知する「リスクベース認証」の導入も効果的です。
試験ではこう出る!
ITパスポート、情報セキュリティマネジメント、基本情報技術者、応用情報技術者で頻出です。
以下のキーワードとセットで覚えましょう。
【重要キーワード】
- 流出したID・パスワードの悪用
- パスワードの使い回し
- クレデンシャルスタッフィング(別名)
- ブルートフォース攻撃・辞書攻撃との違い
- 多要素認証(MFA)による対策
試験問題で「他のサイトから流出したIDとパスワードの組み合わせを使って、別のサイトへの不正ログインを試みる攻撃」や「パスワードの使い回しを狙った攻撃」といった記述があれば、それは「パスワードリスト攻撃」に関する記述です。
📊 パスワード関連攻撃の比較(試験頻出)
| 攻撃手法 | 特徴 |
|---|---|
| ブルートフォース攻撃 | 全パターンを総当たりで試す |
| 辞書攻撃 | よく使われる単語リストを試す |
| リバースブルートフォース攻撃 | 1つのパスワードを多数のIDに試す |
| パスワードリスト攻撃 | 流出した実際のID・パスワードを別サービスに試す |
📝 IPA試験での出題ポイント
パスワードリスト攻撃は、IPAが「利用者側の対策」としてパスワードの使い回しをしないことを強調している攻撃です。試験では「なぜパスワードの使い回しが危険か」を問う問題や、他の攻撃手法との違いを問う問題が出題されます。
「流出した認証情報を使う」という点が最大の特徴です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. パスワードリスト攻撃に関する説明として、最も適切なものはどれでしょうか?
- A. 他のサービスから流出したIDとパスワードの組み合わせを使って、別のサービスへの不正ログインを試みる攻撃
- B. パスワードに使用できるすべての文字の組み合わせを順番に試して解析する攻撃
- C. 1つのパスワードを固定して、多数のユーザーIDに対してログインを試みる攻撃
正解と解説を見る
正解:A
解説:
パスワードリスト攻撃は、過去にどこかのサービスから流出した実際のIDとパスワードの組み合わせを使って、別のサービスへの不正ログインを試みる攻撃です。
パスワードを複数のサービスで使い回しているユーザーが被害に遭います。対策としては、サービスごとに異なるパスワードを設定すること、多要素認証を有効にすることが効果的です。
選択肢Bは「ブルートフォース攻撃(総当たり攻撃)」の説明です。選択肢Cは「リバースブルートフォース攻撃」の説明であり、いずれもパスワードリスト攻撃とは異なる攻撃手法です。
📖 関連リンク(外部サイト)
