「パスワードリスト攻撃」の解説 〜 ITパスポート R4年 問95 〜

パスワードリスト攻撃 とは？

「パスワードリスト攻撃」とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃のことです。

パスワードリスト攻撃の手口として、インターネットサービスの利用者の多くが複数サイトで同一のIDとパスワードを使い回している状況に目をつけ、不正取得したIDとパスワードのリストを流用し、連続自動入力プログラムなどを用いてIDとパスワードを入力しウェブサイトへのログインを試行する手口になります。

【1】各社のサービスにおいてIDとパスワードをすべて同じにしている場合、その中のいずれかのサービス企業でアカウント情報が漏えいしてしまうと、

【2】悪意ある者が他社のサービスで同じIDとパスワードを用いて、利用者Xになりすましてログインすることができます。これで、パスワードリスト攻撃が成功したことになります。その後、悪意ある者はログイン可能なIDとパスワードを悪用して不正アクセスし、最終的には金銭に結びつくような二次的被害を引き起こします。

パスワードリスト攻撃においては、その元となるIDとパスワードは、個人のパソコンからではなくインターネットサービスのサーバーから盗み取られます。よって、利用者側で、強固なパスワードを設定し、かつパソコン上でセキュリティソフトを利用していても、同一のパスワードを使い回している限り、パスワードリスト攻撃の被害を防ぐことはできません。

個人の利用者が、パスワードリスト攻撃による最終的な被害者にならないようにするためには、すべてのインターネットサービスで異なるパスワードを設定する必要があります。

パスワードリスト攻撃に関する問題（令和4年問95）

攻撃対象とは別のWebサイトから盗み出すなどによって，不正に取得した大量の認証情報を流用し，標的とするWebサイトに不正に侵入を試みるものはどれか。

ア.   DoS攻撃

イ.   SQLインジェクション

ウ.   パスワードリスト攻撃

エ.  フィッシング

出典：令和4年度  ITパスポート試験公開問題 問95

正しいと思う選択肢をクリックしてみてください！！！