パスワードリスト攻撃 【クレデンシャルスタッフィング攻撃】 credential stuffing / リスト型アカウントハッキング
概要
パスワードリスト攻撃(クレデンシャルスタッフィング攻撃)とは、ネットサービスやコンピュータシステムの利用者アカウントの乗っ取りを試みる攻撃手法の一つで、別のサービスやシステムから流出したアカウント名とパスワードのリストを用いてログインを試みる手法。何らかのシステムで実際に使われていたアカウント情報を入手して攻撃に利用する手法で、流出元と同じアカウント名(ID)とパスワードを別のシステムでも使いまわしている利用者のアカウントが乗っ取られてしまう。
攻撃者はまず管理が杜撰なインターネット上のネットサービスなどに侵入して会員のアカウント情報を盗み取ったり、別の攻撃者からリストを購入するなどして入手する。
このリストに含まれるアカウント名とパスワードの組み合わせを用いて別のサービスやシステムへのログインを試みると、同じ組み合わせを使いまわしている利用者が偶然いた場合に不正ログインに成功する。
ソフトウェアの脆弱性などを利用してシステムを直接攻撃する手法と異なり、標的システムが適切に運用され不正侵入などを受けていなくても攻撃が成功してしまう。アカウント名として利用者のメールアドレスを用いるシステムが特に標的となりやすく、また被害が起きやすい。
正規のアカウント情報を用いて行われる攻撃であるため直接防ぐことは難しく、二要素認証(二段階認証)などで本人確認を厳重にしたり、アカウント名にメールアドレス以外を設定するようにしたり、利用者に他のサービスとのパスワードの使い回しをやめるよう要請するなどの対策が取られることが多い。
(2020.2.26更新)
関連用語
他の辞典による解説 (外部サイト)
- imidas 時事用語事典 「アカウントリスト攻撃」
- 日経 xTECH Active キーワード 「リスト型攻撃」
- 日経 xTECH これだけはマスター!情報戦略キーワード 「リスト型攻撃」
- SOMPO CYBER SECURITY サイバーセキュリティ用語集 「パスワードリスト攻撃」
- デロイトトーマツ サイバーセキュリティ用語集 「パスワードリスト攻撃」
- NTTドコモ docomo business Watch IT用語集 「パスワードリスト攻撃」
- F5 用語集 「クレデンシャルスタッフィング」
- ESETマルウェア情報局 キーワード事典 「パスワードリスト攻撃」
- サイバーセキュリティ.com コラム 「クレデンシャルスタッフィング攻撃」
- Proofpoint サイバーセキュリティ用語集 「クレデンシャルスタッフィング攻撃」
共有ボタンをタップ