リスト型攻撃とは？パスワードの使い回しで脅かされる個人情報

2019年7月の7pay（セブンペイ）不正アクセス問題の際に、初めて「リスト型攻撃」という言葉を聞いた方も多いのでは？

今回は、リスト型攻撃とは何か、リスト型攻撃が多用されている理由、そしてリスト型攻撃に遭った際の対策をご紹介します！

リスト型攻撃とは？

リスト型攻撃とは、悪意を持った攻撃者が何らかの方法で入手したID・パスワードのリストを使い、さまざまなWebサイトに正規ユーザーを装ってログインしようとするものです。

「自分は大丈夫」と思っていても、いざ不正ログインされてしまうとECサイトで何十万円も買い物されたり、銀行から勝手に引き落としされたりする可能性もある、非常に恐ろしいものなのです。

リスト型攻撃が増加した理由

従来、不正ログインというと、IDとパスワードで可能な組合せを全て試す、「総当たり攻撃」が多く使われていました。しかし、この方法では正しいパスワードの解読に時間がかかることや、複数回誤入力が続くとアクセス禁止になってしまうこともあり、確実性はあまり高くありません。

そこで短時間でも比較的容易にログインができる方法として使われるようになったのが、リスト型攻撃です。

ではなぜ、リスト型攻撃は容易に不正ログインができてしまうのでしょうか？それは複数のWebサイトで同じパスワードを使い回すユーザーが多いからです。

例えば攻撃者は、AというSNSでIDとパスワード情報を入手。これを使いBというECサイトに正規のルートから不正アクセスを試みたとしましょう。もし両方に登録しているユーザーが同じID、パスワードを使っていれば、攻撃者は何度もIDとパスワードの組み合わせを試すことなく、1回で簡単にログインできてしまいます。

2017年にトレンドマイクロが行った「パスワードの利用実態調査2017」によると、複数のWebサイトでパスワードを使い回しているユーザーの割合は実に85.2%。この結果を見ても、攻撃者がリスト型攻撃を使う最大の理由は、ユーザー側のパスワード管理の甘さにあるといってもよいでしょう。

リスト型攻撃の被害に遭わないためには

では、リスト型攻撃に遭わないためには、どういった対策が必要なのか？それは、当然ながら複数のWebサイトで同じパスワードを使い回さないことです。

でも、1つや2つならともかく、数多くのWebサイトに登録していて、そのすべてのパスワードを違うものにしたら覚えるのが大変ですよね。そこでおすすめしたいのが、トレンドマイクロの「パスワードマネージャー」です。

パスワードマネージャーとは、ユーザーに変わってIDとパスワードを記憶、管理してくれるツールで、いくつパスワードをつくっても自分で覚えておく必要はありません。BIGLOBEでは、このパスワードマネージャーを毎月150円（税別）で利用できます。

またパスワードではなく、IDを別々にするのも対策として有効です。一般的にIDはメールアドレスを使うことが多いので、それぞれのWebサイトで別々のメールアドレスで登録します。以下の記事でその方法を紹介していますので、ぜひ参考にしてみてください。

• 情報漏えい対策としてメールアドレスを使い分けてみませんか？