パスワードリスト攻撃とは

パスワードリスト攻撃、字のごとく、あらかじめ不正入手した「パスワードをリスト化した情報」を利用して、ログイン認証画面のあるWebサイトにアクセスを試み、結果として利用者のアカウントでログインされてしまう攻撃のこと。

この、不正入手したパスワードリスト情報、よくあるWebサイトから不正にアクセスされ情報漏洩した認証情報が利用される。この情報漏洩した認証情報(ID、Password)は、ダークウェブ(検索エンジンにはHitしない深層ウェブ)で安価で取引されていたりする。

(参考)
21 million decrypted Gmail & 5 million yahoo accounts being sold on Dark Web(Hackread.com)
640,000 Decrypted PlayStation Accounts Being Sold on DarkWeb(Hackread.com)
認証情報売買

例えば、Playstationの情報漏洩は2011年4月に不正アクセスによって、PlayStation Network利用者7,700万人の個人情報が不正に取得されている。そのうち1部がダークウェブで売買されている報告が2017年。

 

2019年国内においても多数の情報が漏洩している。そして、情報漏洩情報は、大規模であればあるほど、漏れているのか・漏れていないのか、わからない。すなわち、対策は、Webサービス毎に、ユニーク(オリジナル、独自)のパスワードを設定し自己管理することが重要だ。

ある意味、ユニークのパスワード管理することで、認証情報を個別管理する=パスワードの使い回しをしない、ことで、第三者による成りすまし被害は受けない。

古い記事、IPA(情報処理推進機構)は2013年8月に「全てのインターネットサービスで異なるパスワードを! 」という呼びかけをされていた。こういったIPAの公開資料を活用していくのも重要だ。

今後も、サイバー攻撃の1つである、この、パスワードリスト攻撃から被害を受けないよう、「パスワードの適切管理」「定期的なパスワードの更新」を実施するよう、心がけて欲しいものだ。

おすすめの記事