パスワードリスト攻撃による情報漏洩

パスワードリスト攻撃とは

パスワードリスト攻撃をされることによって、情報漏洩の危険性があります。
2013年頃から、日本国内でサービスを提供しているwebサイトで、不正ログインの被害が発生しており、これらの被害はパスワードリスト攻撃と呼ばれる手法が用いられていました。
パスワードリスト攻撃の具体的な手口や対策は、あまり知られていません。
情報漏洩を防ぐために、パスワードリスト攻撃の内容や対策について知っておきましょう。
パスワードリスト攻撃は、不正アクセスや情報窃取目的のウイルスへの感染、内部不正などによって、事前に入手したIDとパスワードを利用して本人になりすまし、webサイトへの不正なログインを試みることです。
アカウントリスト攻撃やリスト型アカウントハッキングとも呼ばれており、考えられる全てのパスワードの組み合わせを試すブルートフォース攻撃や辞書攻撃と比較して、不正アクセスの成功率が非常に高いことが特徴となります。

情報漏洩を防ぐ対策について

パスワードリスト攻撃は、複数のサービスを同じIDとパスワードの組み合わせを使いまわしているユーザーを狙った攻撃です。
IDとパスワードをリスト化して、一気に多数のアカウントに攻撃をします。
これは、webサイトを管理している側、運営している側がどんな対策を行っても、窃取されてしまう危険性を完全になくすことはできません。
また、ユーザーが同じパスワードを使い回すことを制限することも難しいです。
数年前に使っていたサービスのパスワードを現在利用している別のサービスで使用している場合も、パスワードリスト攻撃の被害を受けるリスクが高まります。
パスワードリスト攻撃が発生しやすいタイミングは、大規模な情報漏洩が発生してしまったときです。
一度に大量の情報が第三者に漏れると、それらの情報を元にIDやパスワードを推測できます。
パスワードリスト攻撃による情報漏洩を防ぐためには、二段階認証や二要素認証などユーザーの行動を分析し、異常行動がみられた場合に追加認証、パスワード試行の回数、ミスの回数などを監視、ログイン履歴が確認できるような仕組みをつくることです。
パスワードリスト攻撃の対策を見直してみてはいかがでしょうか。