パスワードリスト攻撃とは？仕組みや対策を紹介

パスワードリスト攻撃は、サイバー攻撃の中でも最もよくあるタイプの一つです。 パスワードリスト攻撃は、既に漏洩しているパスワードの大規模なリストを利用して、ユーザーのアカウントに不正アクセスしてきます。 多要素認証を有効にし、アカウントに強力な独自のパスワードを使用することで、パスワードリスト攻撃を防止することができます。

一般的なサイバー攻撃だけに、毎日のように犯罪者はこのパスワードリスト攻撃を企んでいることでしょう。

そんなパスワードリスト攻撃の被害に合わないためにも、発生する原因や仕組み、そして犯人はどのようにパスワードを不正に入手するのか、どのような攻撃の種類があるのか、それに対する効果的な対策方法など、この記事で詳しく解説していきます。

パスワードリスト攻撃とは？

パスワードリスト攻撃とは、既に漏洩しているパスワードの大規模なリストを利用して、ユーザーのアカウントに不正アクセスしようと試みます。ここでのポイントは、攻撃者がランダムなパスワードを推測するのではなく、実際に過去に使われたり、一般的によく使用されるパスワードのリストを使用することです。

このタイプの攻撃は特に有効である理由は、多くのユーザーが同じパスワードを複数のサービスで再利用する傾向があるためです。一つのサービスからパスワードが漏洩すると、そのパスワードを使っている他のすべてのアカウントが危険にさらされる可能性があります。

パスワードリスト攻撃が発生する主な原因

そんなパスワードリスト攻撃ですが、まずは発生する原因や仕組みを理解することが重要なので、パスワードリスト攻撃対象にならないように発生する原因を理解しましょう。

犯人がパスワードリスト攻撃を仕掛けるためには、パスワードのリストが必要になります。どのように彼らがパスワードを不正に入手し、発生するのか原因を見ていきましょう。

• パスワードの使い回し
• 個人情報の漏洩
• 脆弱なパスワード

パスワードの使い回し

パスワードの使い回しは、セキュリティの脆弱性を生み出しパスワードリスト攻撃の対象になることがよくあります。ユーザーが同じパスワードを複数のサービスで使用すると、一つのサービスでパスワードが漏洩した場合、攻撃者はその情報を利用して他のアカウントにアクセスしようと試みることができます。後ほど、パスワードに関する攻撃の種類でも紹介しますが、パスワードの使い回しはクレデンシャルスタッフィング攻撃やブルートフォース攻撃などといったサイバー攻撃のターゲットになりやすいです。そのため、各サービスごとに異なる強力なパスワードを使用し、定期的にそれらを変更することが重要です。

個人情報の漏洩

登録しているサービスなどが漏洩して、それらの個人情報がインターネット上で広まると、組織やサービスに対するセキュリティ侵害にとどまらず、広範囲のユーザーに影響を及ぼす可能性があります。犯罪者は、これらの漏洩した情報を利用して他のオンラインアカウントに不正アクセスを試みることができるため、ユーザーは自分の情報が漏洩したかどうかを知ることが重要です。

また使っているパスワードが漏洩したかどうかを確認する最も簡単な方法は、BreachWatch®のようなダークウェブモニタリングツールを使うことです。

脆弱なパスワード

ユーザーが予測しやすい、弱いパスワードを選ぶことは、第三者からも予測しやすいことを意味します。つまりパスワードリスト攻撃の被害にあいやすい確率を上げることになります。

パスワード生成ツールを使用してアカウント毎にパスワードを作り、ログイン情報漏洩を予防しましょう。もしあなたが単純で短い辞書単語をパスワードとして使っているなら、サイバー攻撃者はブルートフォース攻撃を使って最も簡単に脆弱なパスワード達を解読されてしまいます。

パスワード生成ツールは、無作為な文字列を形成することで強力なパスワードを生成し、サイバー犯罪者が推測・解読することをほぼ不可能にします。

パスワードに関する6つの攻撃の種類

サイバー犯罪者がパスワードリスト攻撃を仕掛ける前にさまざまな不正方法でパスワードを入手します。それらのパスワードに関する攻撃の種類を知っておくことも対策の1つになります。 その中でも代表的なパスワードに関する攻撃をいくつかご紹介します。

辞書攻撃

辞書攻撃は、辞書に記載されている一般的な単語やフレーズを利用し、ユーザーのクレデンシャルを侵害します。 辞書攻撃によってパスワードがクラックされるのを防ぐには、実際の単語を形成しないランダムな文字、数字、記号を使用することが最善です。

ブルートフォース攻撃

ブルートフォース攻撃では、ログイン情報、セキュリティキー、その他の機密データを推測するために試行錯誤的な技術を使用します。 パスワードの使い回しはよくあるパスワード習慣となってしまっており、その状況で侵害に対してシステム全体またはログイン情報の集まりを脆弱にするには、たった 1 つの公開されたパスワードが必要なだけです。 

キーロガー攻撃

キーロガーとは、アクセスポイントを通じてデバイスに侵入する悪意のあるソフトウェアまたはマルウェアのことです。 感染したソフト、メール、ファイル、またはクラウドベースのプログラムすべてが、キーロガーのエントリーポイントとして機能することができます。 キーロガーがユーザーのデバイスに侵入すると、各キーストロークを記録して、ログイン情報などの機密情報を収集します。 キーロガーは検出が困難なため、非常に危険です。 パスワードの使い回しを簡単に検知し、多数のアカウントへのログイン情報を公開できてしまいます。 

パスワードスプレー攻撃

パスワードスプレー攻撃とは、サイバー犯罪者が共通のパスワードを使用して、1 つのドメイン上の複数のアカウントにアクセスしようとする行為を指します。 攻撃者は、123456 や 111111 のようなよくある脆弱なパスワードのリストを使用することにより、たった 1 回の試みで数百のアカウントにアクセスすることができるかもしれません。

クレデンシャルスタッフィング攻撃

クレデンシャルスタッフィングとは、サイバー犯罪者が、すでに漏洩しているアカウント情報を収集し、再利用することで新しいアカウントやサービスにアクセスするサイバー攻撃の一種です。 Keeper の米国パスワード習慣レポートによると、回答者の 56%が複数のアカウントで同じパスワードを使用していることを認めています。 パスワードの使い回しはよくあるパスワード習慣となっており、複数のアカウントへのアクセスを試みるクレデンシャルスタッフィングのようなパスワードリスト攻撃を成功させる要因となっています。 

これらは、最もよくあるパスワードリスト攻撃の一部であり、より優れたパスワード管理とパスワード衛生の必要性が高まっていることを示しています。 

フィッシング詐欺

フィッシング詐欺は、パスワードやクレジットカード情報などの個人的な機密データを不正に入手するために、犯罪者が緊急性を装い、被害者を騙すサイバー攻撃手法です。この攻撃では、攻撃者が他人になりすまし、信頼を得ることでログイン情報やパスワードなどの情報の開示を促します。

これらのパスワードに関する攻撃の被害に合わないためにも対策をしていくことが大切です。

パスワードリスト攻撃の対策方法

ここまでパスワードリスト攻撃の仕組みや種類など紹介してきました。それらを理解することがパスワードリスト攻撃を対策する一歩になります。

ここからそんな、パスワードリスト攻撃に対してどのような対策ができるのか詳しく解説します。

パスワードを使い回さない

パスワードの使い回しは最もよくある習慣の 1 つとなっており、良いことよりも悪いことの方が多くなっています。 多くの人は新しいパスワードを作るよりも、覚えやすいあるいはすぐに覚えられるという理由で、複数のアカウントで同じパスワードを使い回す傾向があります。 しかし、パスワードの使い回しは、すべてのアカウントを 1 回の漏洩に対して脆弱にし、サイバー犯罪者は 1 つのアカウントにアクセスするだけでそのユーザーの複数のアカウントに簡単にアクセスできるようになるため、大きなセキュリティの危険性が高まります。

多要素認証の有効化

多要素認証（MFA）は、ユーザーがログインする前に認証することで、アカウントのセキュリティを高め、最もよくあるサイバー攻撃から保護します。 MFA を導入する場合、ユーザーはワンタイムコードの提供、セキュリティ質問への回答、生体認証の使用など、複数の検証要素を提供する必要があります。 

すべてのアカウントで強力な独自のパスワードを作成する

他の人に予測できないような強力なパスワードは、サイバー犯罪者にパスワードを推測されづらくなるためには、パスワードリスト攻撃に対する最大の防御策となります。 サイバー犯罪者に推測されにくいパスワードを作るのは、複雑である必要はありません。もちろん、強くて独自のものでありながら、自分にとって覚えやすいパスワードを作るのは不可能に等しいでしょう。 

そこで、Keeperのパスワードマネージャーが、生活をより簡単で安全にできます。 Keeper のパスワードマネージャーは、すべてのパスワードと機密データをクラウドベースのデジタルボルトに保存し、マスターパスワード（覚えておく必要がある唯一のパスワード）でのみアクセスすることができます。 パスワードマネージャーにパスワードを保管すれば、簡単にパスワードを一つの場所で追跡、保護、共有、管理することができることに加えて、Keeper のパスワードマネージャーは強力な独自のアカウント用パスワードを生成してくれるので、自分で行う必要はありません。 

各アカウントの不審なアクティビティを確認しておく

アカウントのセキュリティを保つには、自分のアカウントの活動に注意を払うことが不可欠です。不審なログイン試行に気をつけ、自分が行っていないアクションを発見した場合、迅速に対策を講じることが重要です。これにより、パスワードリスト攻撃などのセキュリティ脅威からアカウントを守ることができます。また先ほど紹介したパスワードマネージャーを利用することで、不審なアクティビティがあったアカウントのパスワードを早急に変更することで、すぐにパスワード変更の対処が可能になります。

つまりいちいち新しいパスワード考えたりする必要がなくなるので、一刻も時間を争う時に役立ちます。

まとめ：Keeperでパスワードリスト攻撃から身を守ろう

パスワードリスト攻撃は常に、どこかで起きていて常に対策しておく必要があります。対策をしていても、起こります。

そんなパスワードリスト攻撃の被害にあってもすぐに対処できるように、Keeperパスワードマネージャーのようなパスワード管理ツールに投資しておくのも、身を守る対策になります。

アプリもあるため、スマホやパソコンなどデバイス問わずどこからでも、自分のデバイスでアクセスが可能になり、パスワードを覚えたり、考えたりする管理する手間を省くことができます。

また機能についている、BreachWatch®のようなダークウェブモニタリングツールを使うことで漏洩した情報をすぐに通知してくれます。

現在、Keeperのパスワードマネージャーは無料30日間トライアル体験を開催しているので、この機会に試してみてはいかがでしょうか。