最終更新日:2026年5月20日
sg security_measures unauthorized_access threat_vulnerability access_control sg-security-measures
まず結論
- パスワードリスト攻撃とは、他サービスから流出したIDとパスワードの組み合わせを使って不正ログインを試みる攻撃であり、SG試験では「推測型攻撃との違い」と「使い回しの危険性」を判断させる問題として出題される。
直感的な説明
パスワードリスト攻撃は、
👉「すでに正解が載っているリストを使う」攻撃です。
例えば、
- どこかのサイトから流出した
IDとパスワードをそのまま使って
👉 他のサイトにログインを試す
👉 同じパスワードを使っていると簡単に突破されます。
定義・仕組み
パスワードリスト攻撃(リスト型攻撃)は、
👉 流出した認証情報(ID・パスワード)を入手し
👉 他のサービスに対してそのまま試す攻撃です。
攻撃の流れ
- 他サービスから認証情報が流出
- 攻撃者がリストを入手
- 別のサービスでログインを試行
- 同じ情報を使っているアカウントに侵入成功
なぜ成功するのか
- 多くの人がパスワードを使い回している
- 正しい組み合わせなので成功率が高い
👉 推測ではなく「再利用」がポイント
どんな場面で使う?
攻撃される場面
- Webサービスのログイン
- ECサイト、SNS、社内システム
防ぐ場面(対策)
- パスワードの使い回し禁止
- 多要素認証(MFA)
- 異常ログイン検知(普段と違うIP・時間)
- パスワード漏えいチェック機能
SG試験での考え方
👉 「推測か、流出か」
- 推測 → ブルートフォース・辞書攻撃
- 流出 → パスワードリスト攻撃
👉 この違いで判断する
よくある誤解・混同
❌ 誤解①:ブルートフォース攻撃と同じ
👉 ⭕ 違う
- ブルートフォース:総当たり
- リスト型:流出情報をそのまま使う
❌ 誤解②:時間がかかる攻撃
👉 ⭕ むしろ高速
- 正しい組み合わせなので試行回数が少ない
❌ 誤解③:複雑なパスワードなら安全
👉 ⭕ 不十分
- 他サイトで漏れていれば意味がない
SG試験のひっかけポイント
- 「パスワードの複雑化だけで防げる」とする選択肢
→ ❌ 不十分
👉 正しくは
- 使い回し禁止+多要素認証
確認問題(SG試験対策)
次のうち、パスワードリスト攻撃の説明として最も適切なものはどれか。
- ア. 他サービスから漏えいしたID・パスワードの組合せを使い、不正ログインを試みる攻撃である。
- イ. すべての文字列を順番に生成してパスワードを試す攻撃である。
- ウ. 利用者のブラウザに不正なスクリプトを実行させる攻撃である。
- エ. DNSサーバのキャッシュに偽情報を入れる攻撃である。
▶ クリックして答えと解説を見る(ここを開く)
正解:ア
解説
- ア:使い回された認証情報を悪用する点が特徴です。
- イ:ブルートフォース攻撃の説明です。
- ウ:XSSの説明です。
- エ:DNSキャッシュポイズニングの説明です。
👉 判断ポイント パスワードリスト攻撃は「漏えい済みの組合せを試す」攻撃。
まとめ(試験直前用)
- パスワードリスト攻撃=「流出情報の使い回し攻撃」
- 特徴は
👉 成功率が高い・高速 - 対策は
👉 使い回し禁止+MFA - 試験では
👉 「推測か流出か」で切り分ける