パスワードリスト攻撃について紹介
各サービスには、ログインID・パスワードを設定し本人登録を行います。
今回、このログインID・パスワードを不正入手し、攻撃者が別のサービスへログインを大量に試みるパスワードリスト攻撃という内容を紹介します。
パスワードリスト攻撃とは
パスワードリスト攻撃とは、名前の通り攻撃者が不正入手したログインID・パスワードをリスト化し、各サービスにログインを大量に試みる攻撃です。
代表的な入手方法として、過去に不正アクセスや、フィッシング等で流出したログインID・パスワードをダークウェブ(匿名性の高い一般の検索エンジンで見つからない空間)で売買されています。
何故この攻撃が成立するのかというと、各サービスごとに同じログインID・パスワードを使いまわししているユーザが多いためです。
同じログインID・パスワードを使用している場合、芋づる式に他サービスでも危険が生じます。
対策
パスワードリスト攻撃に対して、以下に有効な対策を記載します。
各サービスごとに異なるパスワードを使用する
パスワードが異なっていれば、突破されるリスクは軽減されます。
自分は大丈夫と思って安易なパスワードで登録すると思わぬ被害が出る可能性があるため、注意が必要です。
多要素認証を有効化する
多要素認証を有効化することで、万が一パスワードを突破されたとして、本人確認が必要になるためログインされる可能性が限りなく低くなります。
不正アクセスが見つかった場合は、すぐにパスワードを変更してください。
パスワード管理ツール(パスワードマネージャ)を利用する
パスワード管理ツールとは、ログインIDやパスワードを安全に管理できるアプリケーションです。
安全性が高いパスワードを自動的に生成し、自分自身が覚えにくい情報も安全に呼び出せます。