パスワードリスト攻撃とは？手口や被害事例、効果的な対策を解説

ということは、他のサービスにも不正アクセスされて、好き勝手される恐れがあるということですか…？

はい、その通りです！ですので、パスワードが漏洩したらすぐに変更しましょう。

ちなみに8文字の英数字のパスワードの場合は、約2兆8千億回試すとログインされてしまいます。

【辞書攻撃】

辞書に掲載されている単語を、片っ端からパスワードとして入力し試す攻撃。
人名や思い入れのある場所の名前を付けて、パスワードに意味を持たせたいという心理をついた攻撃。

【パスワードスプレー攻撃】

1つのパスワードを、複数のアカウントのログイン画面で一度に試す攻撃。
複数回間違えるとロックがかかる機能があっても、犯人はそのパスワードで他のグループへのログインを試したり、IPアドレスを変更し何度でも試す。

パスワード情報を盗む手口

犯人は、パスワードを違法に入手します。
入手経路は多岐にわたりますが、特に多いのは「フィッシングメール」と「ダークウェブ」です。

「フィッシングメール」とは、Amazonや宅急便など大手企業になりすまして、ログイン情報を盗み取ろうとする迷惑メールのことです。
偽メールとは知らずに誘導されるまま個人情報を入力すると、犯人にログイン情報が伝わります。

一方「ダークウェブ」とは、個人情報や薬物・武器など、表で堂々と販売できない商品を取り扱うウェブサイトのことです。
ダークウェブは通常では見ることができないようになっており、特殊なインターネット環境でのみ閲覧できます。

フィッシング詐欺の意味とは？手口・被害事例やセキュリティ対策を解説

パスワードリスト攻撃に遭うとどうなる？

パスワードを使い回し、パスワードリスト攻撃に遭うとどのような被害が出るのか見ていきましょう。

パスワードリスト攻撃の被害に遭った事例

次に、実際に起こったパスワードリスト攻撃の事例を2つご紹介します。
2つとも日常生活で身近で起こり得る事例なので、他人事だとは思わず危機感を持ちましょう。

事例①銀行のマイページに不正アクセスされる

とある銀行のマイページに、利用者になりすました犯人がログインし、利用者の口座から犯人の口座へ約30万円ほど送金された事例がありました。

利用者には「マイページより送金が完了しました。」とのメールが送信されましたが、迷惑メールへ振り分けられたため発見が遅れ、気づいたのは不正送金があった1ヶ月後のこと。
慌てて銀行の担当者に問い合わせましたが、補償はできないと言われました。

事例②大手通販サイトでポイントが不正に使用された

大手通販サイトに利用者になりすました犯人がログインし、利用者のポイントを使って不正に商品を購入。
ポイントは補償対象外のため、不正に利用されたポイントは返ってきませんでした。

さらに利用者はパスワードを使い回していたことにより、他の4つの通販サイトでも同様にログインされ、ポイントが勝手に使われました。
合計5つの通販サイトで、総額20万円分のポイントを失いました。

パスワードリスト攻撃に効果的なセキュリティ対策

安全にインターネットを利用するには、自分の身は自分で守ることが大切です。
そこで続いては、サイトの利用者側と提供者側ですべき対策をご紹介します。

利用者ができる対策

サービスを利用する際に気をつけるべきは、パスワードを使い回さないことと、利用していないサービスのアカウントは削除することです。
またパスワードは、信頼できる管理アプリなどを利用し、安全に保管しましょう。

パスワード管理アプリおすすめ5選！基本情報・必要性・選び方も解説

サービス提供者ができる対策

利用者だけではなく、サービス提供者側にも実践すべき対策があります。

セキュリティ対策	内容
他要素認証	アカウント登録時に自分で定めた「知識情報」やICカード番号などの「所持情報」、指紋などの「生体認証」。この3つのうち2つ以上を組み合わせた認証。 （例）パスワード＋指紋認証が一致すればログイン完了
2段階認証ログイン	パスワード入力した際、利用者に届いたメールからサービスへのログイン許可を出したり、利用者の端末に通知されたセキュリティコードを入力することでログインする。本当に利用者がログインしようとしているのか確認する仕組み。 （例）IDとパスワード入力→アカウント情報に登録した電話番号宛にSMSでセキュリティコードが届く→セキュリティコードを入力 → ログイン完了
ログイン試行回数に制限をつける	度重なるパスワードの試行による不正ログインを防ぐため、数回パスワードを間違えると一定時間ロックがかかる仕組み。 （例）パスワードが3回誤って入力されたため一定時間アカウントがロックされます
画像認証を導入する	悪意のあるプログラムの自動でログインを防ぐため、人間である利用者が画像を判別し入力することでログインする仕組み。 （例）画像に表示されている文字を入力してください （例）「信号」が含まれている画像を選択してください
WAFを使用する	サービスサイトを動かすためのWebサーバーの前に設置し、受信した通信を解析する仕組み。攻撃の通信と判断した場合は、完全に遮断しWebサイトを守る。

パスワードリスト攻撃に効果的なセキュリティ対策商品

サイバー犯罪者たちは、情報やお金を盗むためにあらゆる手法を考え攻撃してきます。
さらに攻撃手法は日々巧妙化しており、いくらセキュリティ対策をしても、抜け穴を狙った攻撃を避けることはできません。

そこで頼りになるのが、「セキュリティ対策商品」です！

「パスワードマネージャー」でパスワードを徹底管理・自動入力

（画像引用：トレンドマイクロ パスワードマネージャー）

パスワードリスト攻撃に遭わないためには、強固なパスワードを設定することと、同じパスワードを使い回さないことが大切。
管理が面倒に感じる方には、「トレンドマイクロ パスワードマネージャー」をおすすめします。

＞トレンドマイクロ パスワードマネージャー＜

「ESET」でウイルスや不正アクセスを即ブロック

パスワードを含め、個人情報はフィッシングメールやウイルス感染により漏洩するため、ウイルス対策ソフトの導入が必須。
数あるウイルス対策ソフトの中で迷ったら、「ESET」をおすすめします。

ESETは外部からの侵入者を徹底ブロックする機能に特化しており、ウイルスや怪しいURLを添付したメールによる被害から守ります。

＞ESET＜

「Cyber Box Pro」で企業のセキュリティをオールカバー

ウイルスや不正アクセスなどのサイバー攻撃の脅威は、社内ネットワークやインターネットなど様々な箇所に存在します。

「ESET」や「IDS/IPS（不正侵入検知・防御システム）」を搭載しており、これ1台で社員全員のセキュリティが守られるので安心。
不正アクセスやウイルスだけではなく、あらゆるサイバー攻撃に対して『オールインワンでブロック』してくれます。

Cyber Box Proが少しでも気になる方は、ぜひお気軽にOFFICE110へお問合せください。

まとめ

パスワードリスト攻撃は、犯人があらかじめ手に入れたパスワード情報で本人になりすまして侵入する手口です。
パスワードを複数のサイトで使い回している場合、一つのパスワードが漏洩すると他のサイトも侵入される危険性があります。

総合的にセキュリティ対策をするなら、OFFICE110の「Cyber Box Pro」がおすすめ。
またOFFICE110なら通常は10万円以上のセキュリティ診断を無料で実施しておりますので、自社のセキュリティに不安をお持ちの方はぜひお気軽にお問合せください！