2025.12.17
パスワードリスト攻撃とは?攻撃の手法や被害の実態を解説
パスワードリスト攻撃とは、他サイトから流出したIDとパスワードを使い、複数の他サービスで次々と不正ログインを試みる攻撃方法です。
同じパスワードを複数のサイトで使い回している場合、ひとつの情報流出がきっかけであらゆるアカウントが乗っ取られる危険があります。
本記事では、パスワードリスト攻撃の仕組みや他の攻撃手法との違い、標的にされる原因と効果的な対策まで解説します。
パスワードリスト攻撃とは
パスワードリスト攻撃は、過去に流出したIDとパスワードの組み合わせリストを使い、複数のWebサービスに自動的にログインを試みる攻撃手法です。金融機関やECサイトなど、あらゆるオンラインサービスが標的になります。
多くのユーザーが複数のサービスで同じパスワードを使い回しているため、ログインの成功率自体は低くても、数千から数万のアカウントが突破されるリスクがあります。
近年では企業のセキュリティ対策が進む一方で、パスワードリスト攻撃はすでに実在する認証情報を使うため、従来の総当たり攻撃と異なり検知が難しいのが課題です。
ブルートフォース攻撃との違い
パスワードリスト攻撃とブルートフォース攻撃は、ともにIDとパスワードを使い、不正アクセスを試みるサイバー攻撃です。ただし、攻撃者の特徴に違いがあります。
| 攻撃 | パスワードリスト攻撃 | ブルートフォース攻撃 |
|---|---|---|
| 攻撃者の特徴 | 正しいIDとパスワードの組み合わせを知っている | 正しいパスワードを知らず、あらゆる組み合わせを試す |
| 特徴 | 無駄な試行がほとんどないため検知しにくい | 試行回数が膨大になるため比較的検知しやすい |
パスワードリスト攻撃は、攻撃者が対象のログイン情報(IDとパスワードの組み合わせ)を入手済みなのが特徴です。一方でブルートフォース攻撃は、攻撃者が対象のログイン情報の組み合わせを知らないという状態に違いがあります。
つまり、ブルートフォース攻撃は「0000」から「9999」を順番に入力する、アルファベットを組み合わせるなどして、パスワードを総当りで推測する必要があります。その結果、ブルートフォース攻撃は試行回数が膨大になり、アカウントロック機能で検知されやすくなるのが特徴です。
パスワードリスト攻撃は、複数のIPアドレスに分散して少しずつログインを試みる分散攻撃を行うため、通常のユーザー行動に紛れ込むことで検知されにくく、被害が広がりやすい特徴があります。
レインボーテーブル攻撃との違い
レインボーテーブル攻撃は、ハッシュ化(元の文字列を一定の規則で変換した文字列)されたパスワードを解読する手法です。
| 攻撃 | パスワードリスト攻撃 | レインボーテーブル攻撃 |
|---|---|---|
| 攻撃者の特徴 | 正しいIDとパスワードの組み合わせを知っている | レインボーテーブルを使用してパスワードを推測する |
| 特徴 | 無駄な試行がほとんどないため検知しにくい | データベースへの侵入自体が検知される場合がある |
多くのサイトでは、パスワードをそのまま保存せずハッシュ化してデータベースに保管しています。
攻撃者は、データベースからパスワードのハッシュ値を入手した上で、あらかじめ準備しておいた文字列とハッシュ値の対応表(レインボーテーブル)を照合することで、元のパスワードを推測します。
一方、パスワードリスト攻撃は解読を行わず、すでに漏えいした平文のパスワードをそのまま使うため、そもそもの攻撃者の状態が異なります。
パスワードリスト攻撃の標的にされる原因
パスワードリスト攻撃が成功する背景には、ユーザー側とシステム側の両方に原因があります。主な原因は以下の3つです。
- IDやパスワードの使い回し
- フィッシング詐欺や情報漏えいサイトからの流出
- システムや認証設計の脆弱性
IDやパスワードの使い回し
同じパスワードを複数のサイトで使い回すと、ひとつのサイトから情報が漏れただけで、他のサービスにも不正ログインされる危険性があります。
攻撃者は流出リストを使い、自動ツールで複数のサイトに一斉アクセスするため、個人でも企業でも短時間で複数アカウントを奪われかねません。
たとえば、無料の掲示板サイトで使っていたパスワードが漏れた場合でも、同じパスワードを銀行やECサイトで使用していれば、そちらも被害に遭う可能性があります。
仮に企業側のセキュリティが万全でも、ユーザーが他サイトで流出したパスワードを使い回していれば防ぐことが困難です。
フィッシング詐欺や情報漏えいサイトからの流出
攻撃者が利用するパスワードリストの多くは、フィッシング詐欺や不正アクセスで流出した情報から作られます。
たとえば「本人確認を装ったメール」や「本物そっくりのログイン画面」にパスワードを入力してしまうと、その情報が盗まれて攻撃に利用されるパスワードリストへ追加されてしまう仕組みです。
さらに、ダークウェブと呼ばれる闇市場では、流出データがまとめて販売されていることもあります。一度情報が漏れれば、世界中の攻撃者がそのデータを使って攻撃を仕掛ける可能性があります。
システムや認証設計の脆弱性
認証システムに適切な防御機能が実装されていない場合、パスワードリスト攻撃の標的になる可能性が高まります。
具体的には、ログイン試行回数の制限が設定されていない場合や多要素認証が導入されていない場合、異常なログインパターンを検知する仕組みがない場合などです。
攻撃者は自動化プログラム(Bot)を使用して、1秒間に数百回のログイン試行を行えるため、制限がなければ短時間で大量のアカウントを試せます。異常なアクセスを検知する仕組みがなければ、攻撃を受けていることにすら気づけません。
パスワードリスト攻撃によって起こる被害
パスワードリスト攻撃を受けると、企業と個人の両方に深刻な被害をもたらします。被害の形態は、以下の3つに分けられます。
- 不正ログインによるアカウント乗っ取り
- 個人情報・機密データの漏えい
- 金銭的・社会的信用の損失
不正ログインによるアカウント乗っ取り
パスワードリスト攻撃の代表的な被害は、第三者による正規ユーザーアカウントの乗っ取りです。
攻撃者は、盗んだアカウントを使ってログイン後、パスワードやメールアドレスを変更し、本来の持ち主がアクセスできない状態にします。
企業の業務システムが乗っ取られると、取引先への不正メール送信やシステム設定の改ざんなど、二次被害が発生する可能性もあります。
個人情報・機密データの漏えい
アカウントが乗っ取られると、保存されている個人情報や機密データが攻撃者に流出します。氏名・住所・電話番号だけでなく、クレジットカード情報や購入履歴などの個人データはダークウェブで売買されたり、さらなる攻撃の材料として利用されたりします。
顧客データベース全体や営業機密、開発中の製品情報なども流出するおそれがあり、競合他社に利用される可能性もあるため注意が必要です。
個人情報保護法により、企業は情報漏えいが発覚して個人の権利利益を害するおそれがある場合に、速やかに本人への通知と個人情報保護委員会への報告が必要です。万が一、対応が遅れると法的責任が問われることにもつながります。
出典:個人情報保護委員会ウェブサイト(https://www.ppc.go.jp/files/pdf/roueitouhoukoku_gimuka.pdf)
金銭的・社会的信用の損失
パスワードリスト攻撃による被害は、金銭的な損失だけでなく、企業の評判や信頼の失墜を招く可能性があります。
金銭的な影響としては、不正利用された金額の補償やシステムの緊急対応費用、法的対応費用などが挙げられます。
さらに深刻なのは、社会的信用の失墜です。顧客情報が流出した企業は、メディアやSNSで批判を受け、ブランド価値が低下するリスクにさらされます。
その結果、既存顧客の離脱や新規顧客獲得の困難化、株価の下落などが連鎖的に発生します。
パスワードリスト攻撃への効果的な対策
パスワードリスト攻撃は完全に防ぐことが難しいですが、以下のような具体的な対策を組み合わせることで被害の発生を減らせます。
- パスワードポリシーやアカウント管理ルールの策定
- 多要素認証の導入
- 不正ログインの検知システムの導入
- 休眠アカウントの廃止
パスワードポリシーやアカウント管理ルールの策定
パスワードリスト攻撃の対策をするうえでは、強固なパスワードポリシーを定めるのが効果的な手法です。具体的には、パスワードの最低文字数を12文字以上に設定し、英大文字・小文字・数字・記号を組み合わせます。
また、アカウントの権限を最小限に設定し、退職者や利用停止者のアカウントを速やかに削除する運用を徹底することも重要です。
ルールを定めても守られなければ意味がないため、定期的な教育と監査を通じて社員の意識の維持が求められます。
多要素認証の導入
多要素認証(MFA)は、パスワード以外の要素を組み合わせて本人確認を行う仕組みです。
認証要素には「知識(パスワード)」「所持(スマートフォンやトークン)」「生体(指紋や顔)」などがあり、このうち2つ以上を組み合わせます。一般的なのは、SMSや認証アプリに送られる6桁のワンタイムパスワードを使う方式です。
重要なシステムでは、USBセキュリティキーや生体認証を取り入れることで、さらに安全性が高まります。
不正ログインの検知システムの導入
パスワードリスト攻撃を早期に発見するには、ログイン行動の異常を自動検知するシステムを整えることも重要です。
検知すべき異常行動としては、短時間に同一IPアドレスから複数アカウントへのログイン試行や、通常と異なる country や地域からのアクセスなどが挙げられます。
検知後は、対象IPアドレスの暫定遮断や該当ユーザーへのメール通知、管理者への即時報告といった方法で迅速な初動対応が可能です。
ログ分析ツールやSIEM(複数システムのログを関連付けてサイバー攻撃の兆候を検知する仕組み)を活用すれば、膨大なアクセスログから異常を効率的に抽出できます。
休眠アカウントの廃止
長期間使用されていない休眠アカウントは、パスワードリスト攻撃の標的となります。休眠アカウントは、ユーザー自身が存在を忘れているため、不正ログインされても気づきにくく、古いパスワードのまま放置されていることが多いためです。
対策として、最終ログインから一定期間(6か月〜1年ほど)経過したアカウントを自動的に検出し、ユーザーにメールで通知する仕組みの導入が効果的です。通知後も一定期間反応がない場合は、アカウントを無効化または削除します。
削除前には事前通知を行い、必要なデータのバックアップ機会を提供することで、トラブルを防げます。
定期的に休眠アカウントの棚卸しを行うことは、攻撃の入口を減らすだけでなく、システムリソースの節約やデータ管理の効率化にも有効です。
まとめ
パスワードリスト攻撃は、他サイトから流出したIDとパスワードを使い、複数のサービスへ自動的にログインを試みる攻撃手法です。
企業は、強固なパスワードポリシーの策定や多要素認証の導入などの対策を整備し、安全なパスワード管理を徹底することで攻撃のリスクを低減できます。
攻撃者に、脆弱性の隙を与えない仕組みを作ることが、被害を防ぐ有効な方法です。
パスワードリスト攻撃対策でお困りごとがあれば、富士フイルムビジネスイノベーションジャパンがサポートいたしますので、ぜひお気軽にお問い合わせください。
