パスワードリスト攻撃

パスワードリスト攻撃は、インターネット上で提供されているサービスに不正にログインを試みる攻撃手法の1つです。

攻撃者は、利用者が複数のサービスで同じIDとパスワードを登録する傾向を利用し、ダークネットなどから不正に入手したID・パスワードのリストを用いて、他サービスへの不正アクセスを試みます。

利用者の正規なログインと攻撃者の不正なログインの区別がつきづらいため、プログラムによる検出が難しいという特徴があります。

利用者側の対策

• ID・パスワードはなるべく共通のものを利用しない
• 二要素認証※等が導入されているサービスにおいてはその機能を積極的に活用する　等
  ※「IDとパスワード」と「顔認証」など、性質の異なる2つの要素の組み合わせを用いて本人確認をおこなう認証方式

パスワードリスト攻撃のイメージ図