「パスワードリスト攻撃」の解説
パスワードリスト攻撃 とは?
.003-1.jpeg)
「パスワードリスト攻撃」とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃のことです。
パスワードリスト攻撃の手口として、インターネットサービスの利用者の多くが複数サイトで同一のIDとパスワードを使い回している状況に目をつけ、不正取得したIDとパスワードのリストを流用し、連続自動入力プログラムなどを用いてIDとパスワードを入力しウェブサイトへのログインを試行する手口になります。
【1】各社のサービスにおいてIDとパスワードをすべて同じにしている場合、その中のいずれかのサービス企業でアカウント情報が漏えいしてしまうと、
【2】悪意ある者が他社のサービスで同じIDとパスワードを用いて、利用者Xになりすましてログインすることができます。これで、パスワードリスト攻撃が成功したことになります。その後、悪意ある者はログイン可能なIDとパスワードを悪用して不正アクセスし、最終的には金銭に結びつくような二次的被害を引き起こします。
パスワードリスト攻撃においては、その元となるIDとパスワードは、個人のパソコンからではなくインターネットサービスのサーバーから盗み取られます。よって、利用者側で、強固なパスワードを設定し、かつパソコン上でセキュリティソフトを利用していても、同一のパスワードを使い回している限り、パスワードリスト攻撃の被害を防ぐことはできません。
個人の利用者が、パスワードリスト攻撃による最終的な被害者にならないようにするためには、すべてのインターネットサービスで異なるパスワードを設定する必要があります。
パスワードリスト攻撃に関する問題
攻撃対象とは別のWebサイトから盗み出すなどによって,不正に取得した大量の認証情報を流用し,標的とするWebサイトに不正に侵入を試みるものはどれか。
ア. DoS攻撃
イ. SQLインジェクション
ウ. パスワードリスト攻撃
エ. フィッシング
出典:令和4年度 ITパスポート試験公開問題 問95
◆確認問題の解答(ウ)、解説・・・各選択肢の解説は、次の通り。
- ア(DoS攻撃):「DoS攻撃」とは、通常ではありえない数の通信をサーバに送り付けることでサーバやネットワーク回線を過負荷状態にし、システムダウンやサービス停止などの障害を作為的に引き起こす攻撃手法のことです。
- イ(SQLインジェクション):「SQLインジェクション」とは、Webアプリケーションに対してデータベースへの命令文を構成する不正な入力データを与え、Webアプリケーションが想定していないSQL文を意図的に実行させることで、データベースを破壊したり情報を不正取得したりする攻撃のことです。
- ウ(パスワードリスト攻撃):正解です。「パスワードリスト攻撃」とは、複数のサイトで同様のID・パスワードの組合せを使用している利用者が多いという傾向を悪用したもので、あるサイトに対する攻撃などによって得られた利用者IDとパスワードのリストを用いて、別のサイトへの不正ログインを試みる攻撃のことです。
- エ(フィッシング):「フィッシング」とは、銀行やクレジットカード会社、ショッピングサイトなどの有名企業を装ったメールを送付し、誘導先の偽サイトで個人情報を不正に取得する行為のことです。