リスト型攻撃

リスト型攻撃 とは †

• パスワードリスト攻撃

• リスト型アカウントハッキング
• 不正アクセスの攻撃手法の一つ。
• パスワードクラックの攻撃手法の一つ。

• 流出したアカウントの情報(ユーザーIDとパスワードなど)を利用してログインを試行する攻撃。
• パスワードを使いまわしているユーザーを標的にした攻撃。
  • ユーザがアカウント情報を使いまわしている場合、複数の異なるサービスで不正アクセスができてしまう。

• パスワードが漏洩していない場合も、アカウント情報から推測して造成したパスワードを使いログインを試行する。

リスト型攻撃の対策 †

利用者側 †

• アカウント情報の使い回しをしない。
  • サービスごとに異なるパスワードを使う。（同じパスワードを使わない）
  • 推測できるパスワードを使わない。
• 二段階認証や多要素認証を利用する。

サービス提供者側 †

• 二段階認証や多要素認証の仕組みを導入する。
• 認証時のログを分析して、リスト型攻撃が行われていないか確認する。

• 攻撃者の認証行為の間隔が長い場合や、IPアドレスを変えて行われる場合
  • ログ分析では検知が難しい。
  • アカウントのロックアウトがかからないので気づくのが難しい。

関連用語 †

• 辞書攻撃
• 脆弱性
• スクリーニング
• セキュリティ
• ブルートフォース攻撃
• クレデンシャルスタッフィング攻撃
• Hydra