読み方 : パスワードリストこうげき
パスワードリスト攻撃 【クレデンシャルスタッフィング攻撃】
別名 : credential stuffing, リスト型アカウントハッキング
概要
パスワードリスト攻撃とは、ネットサービスやコンピュータシステムの利用者アカウントの乗っ取りを試みる攻撃手法の一つで、別のサービスやシステムから流出したアカウント名とパスワードのリストを用いてログインを試みる手法。
何らかのシステムで実際に使われていたアカウント情報を入手して攻撃に利用する手法で、流出元と同じアカウント名(ID)とパスワードを別のシステムでも使いまわしている利用者のアカウントが乗っ取られてしまう。
攻撃者はまず管理が杜撰なインターネット上のネットサービスなどに侵入して会員のアカウント情報を盗み取ったり、別の攻撃者からリストを購入するなどして入手する。
このリストに含まれるアカウント名とパスワードの組み合わせを用いて別のサービスやシステムへのログインを試みると、同じ組み合わせを使いまわしている利用者が偶然いた場合に不正ログインに成功する。
ソフトウェアの脆弱性などを利用してシステムを直接攻撃する手法と異なり、標的システムが適切に運用され不正侵入などを受けていなくても攻撃が成功してしまう。アカウント名として利用者のメールアドレスを用いるシステムが特に標的となりやすく、また被害が起きやすい。
正規のアカウント情報を用いて行われる攻撃であるため直接防ぐことは難しく、二要素認証(二段階認証)などで本人確認を厳重にしたり、アカウント名にメールアドレス以外を設定するようにしたり、利用者に他のサービスとのパスワードの使い回しをやめるよう要請するなどの対策が取られることが多い。
(2020.2.26更新)
「パスワードリスト攻撃」の関連用語
他の用語辞典による「パスワードリスト攻撃」の解説 (外部サイト)
- imidas 時事用語事典「アカウントリスト攻撃」
- 日経 xTECH Active キーワード「リスト型攻撃」
- 日経 xTECH これだけはマスター!情報戦略キーワード「リスト型攻撃」
- SOMPO CYBER SECURITY サイバーセキュリティ用語集「パスワードリスト攻撃」
- NTTドコモ docomo business Watch IT用語集「パスワードリスト攻撃」
- F5 用語集「クレデンシャルスタッフィング」
- ESETマルウェア情報局 キーワード事典「パスワードリスト攻撃」
- Proofpoint サイバーセキュリティ用語集「クレデンシャルスタッフィング攻撃」
- ITパスポート用語辞典「パスワードリスト攻撃」
- サイバー攻撃大辞典「パスワードリスト攻撃」
資格試験などの「パスワードリスト攻撃」の出題履歴
▼ ITパスポート試験
【令4 問95】 攻撃対象とは別のWebサイトから盗み出すなどによって、不正に取得した大量の認証情報を流用し、標的とするWebサイトに不正に侵入を試みるものはどれか。
▼ 基本情報技術者試験
【令3修12 問40】 パスワードリスト攻撃に該当するものはどれか。
【令2修7 問38】 パスワードリスト攻撃に該当するものはどれか。
【平31春 問37】 パスワードリスト攻撃の手口に該当するものはどれか。
【平30修1 問45】 別のサービスやシステムから流出したアカウント認証情報を用いて,アカウント認証情報を使い回している利用者のアカウントを乗っ取る攻撃はどれか。
【平29修12 問37】 パスワードリスト攻撃に該当するものはどれか。
【平29修7 問38】 パスワードリスト攻撃の手口に該当するものはどれか。
【平28秋 問44】 別のサービスやシステムから流出したアカウント認証情報を用いて,アカウント認証情報を使い回している利用者のアカウントを乗っ取る攻撃はどれか。
共有ボタンをタップ