>
>
最終更新日
2025/10/14
近年、多くのウェブサービスで報告される不正ログイン被害の主な原因として、パスワードリスト攻撃が挙げられます。この攻撃は、他の場所で漏えいしたIDとパスワードの組み合わせを悪用し、別のサービスへのログインを試みるサイバー攻撃です。
多くの人が複数のサービスで同じIDとパスワードを使い回しているという習慣を巧みに利用するため、攻撃の成功率が高く、サービス提供者側だけで完全に防ぐことが難しいのが現状です。
この記事では、パスワードリスト攻撃の具体的な仕組みから、ブルートフォース攻撃との明確な違い、そして企業と個人がそれぞれ実行すべき対策まで、情報処理推進機構(IPA)の指針も踏まえながら分かりやすく説明します。
パスワードリスト攻撃とは
パスワードリスト攻撃とは、攻撃者が事前に入手したIDとパスワードのリストを使い、標的のウェブサイトやサービスに対して不正なログインを試みるサイバー攻撃です。攻撃者は、リストにある大量の認証情報をプログラムで自動的に入力し、ログイン可能なアカウントを探し出します。
一つのサイトでログインに成功すれば、そのアカウント情報を利用してさらなる不正行為に及びます。利用者のパスワード使い回しの習慣が悪用されるため、個人情報や金銭的な被害に直結しやすい、危険な攻撃手法です。
そもそもパスワードリストとは
パスワードリストとは、過去に何らかのサービスからサイバー攻撃などによって漏えいしたIDとパスワードの組み合わせを一覧にしたデータです。このリストは、ダークウェブといった違法なオンライン市場で売買されています。
攻撃者はこのようなリストを手に入れ、有名なECサイトやSNS、金融機関のサービスなどでログインを試みます。自分の知らないうちに個人情報が流出し、それが攻撃の材料として使われてしまうのです。
ブルートフォース攻撃との違い
パスワードリスト攻撃としばしば混同される攻撃に、ブルートフォース攻撃があります。両者は不正ログインを試みる点は同じですが、その手法は全く異なります。
パスワードリスト攻撃
実際に漏えいしたことのあるIDとパスワードの組み合わせのリストを使ってログインを試みます。成功実績のある情報だけを試すため、効率的です。ブルートフォース攻撃
特定のIDに対し、考えられる全てのパスワードの文字列を総当たりで試します。非常に時間がかかりますが、単純なパスワードであれば突破される可能性があります。
つまり、パスワードリスト攻撃は効率と成功率を重視した手法であり、ブルートフォース攻撃よりもはるかに短時間で不正ログインを成功させる可能性が高いという違いがあります。
パスワードリスト攻撃に該当するもの
パスワードリスト攻撃に該当するものとして、ECサイトでの不正購入、SNSアカウントの乗っ取り、ネットバンキングからの不正送金などが挙げられます。ログインに成功した攻撃者は、登録されているクレジットカード情報を悪用したり、アカウントになりすまして友人や知人に詐欺メッセージを送信したりします。また、企業アカウントが乗っ取られた場合は、機密情報の漏えいや顧客信用の失墜といった、事業の存続に関わる深刻な被害につながる恐れがあります。
パスワードリスト攻撃を防ぐのが難しい理由
パスワードリスト攻撃がなくならない背景には、手口の巧妙さと、利用者側の習慣に根差した脆弱性が存在します。
正規の認証情報を使う巧妙な手口
パスワードリスト攻撃を防ぐのが難しい最大の理由は、攻撃者が正規のIDとパスワードの組み合わせを使用している点にあります。システム側から見れば、それは通常のログイン試行と区別がつきません。
IDやパスワードが間違っていればログイン失敗として記録されますが、リストの中に正しい組み合わせがあれば正規のユーザーとして認証してしまいます。そのため、単純なアクセス制限やパスワードのロック機能だけでは、根本的な解決が困難なのです。
利用者のパスワード使い回し
パスワードリスト攻撃が成功する根本的な原因は、多くの利用者が複数のウェブサービスで同じIDとパスワードの組み合わせを使い回していることにあります。
どれか一つのサービスから認証情報が漏洩すると、その情報を使って他のサービスもすべて危険にさらされることになります。利便性を優先して同じパスワードを設定したいという利用者の心理が、攻撃者にとって格好の標的となっているのが現状です。この習慣を改めない限り、攻撃を受ける危険性はなくなりません。
パスワードリスト攻撃の対策一覧
被害を未然に防ぐためには、サービスを提供する企業と、それを利用する個人の両方で対策を進めることが不可欠です。
サービス提供者(企業側)の対策
企業側で実施すべき対策は、多岐にわたります。まず、知識情報と所持情報(スマートフォンなど)を組み合わせる多要素認証(MFA)の導入は非常に効果的です。また、ログイン履歴の監視を強化し、普段と異なる環境からのアクセスがあった場合に本人確認を求める仕組みも有効です。さらに、IPAが推奨するように、同一IPアドレスからの大量のログイン試行を検知し、一時的にアクセスを遮断するなどのセキュリティ対策を講じる必要があります。
利用者(個人側)の対策
個人ができる最も重要な対策は、パスワードの使い回しを絶対にやめることです。サービスごとに異なる、推測されにくい複雑なパスワードを設定しましょう。多数のパスワードを覚えるのが難しい場合は、パスワード管理ツールの利用が現実的な解決策です。また、サービスに多要素認証の機能が提供されている場合は、必ず設定するようにしてください。これにより、万が一パスワードが漏えいしても、不正ログインされるリスクを大幅に低減できます。
まとめ
この記事では、パスワードリスト攻撃の仕組み、危険性、そして具体的な対策について解説しました。この攻撃は、漏えいした情報を元に行われるため、パスワードの使い回しという習慣がある限り、誰もが被害者になる可能性があります。
サービス提供側は多要素認証の導入や不審なアクセスの監視といったシステム対策を強化し、利用者はサービスごとに異なる複雑なパスワードを設定し、多要素認証を積極的に利用するという基本的な対策を徹底することが求められます。
サイバー攻撃の手法は日々巧妙化していますが、企業と個人の双方がセキュリティ意識を高く持ち、継続的に対策を見直していくことで、あなたの大切な情報資産を守ることにつながります。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
おすすめの記事をご紹介
