まず結論

• パスワードリスト攻撃とは、他サービスから流出したIDとパスワードの組み合わせを使って不正ログインを試みる攻撃であり、SG試験では「推測型攻撃との違い」と「使い回しの危険性」を判断させる問題として出題される。

---

直感的な説明

パスワードリスト攻撃は、

👉「すでに正解が載っているリストを使う」攻撃です。

例えば、

• どこかのサイトから流出した
  IDとパスワードをそのまま使って
  👉 他のサイトにログインを試す

👉 同じパスワードを使っていると簡単に突破されます。

---

定義・仕組み

パスワードリスト攻撃（リスト型攻撃）は、

👉 流出した認証情報（ID・パスワード）を入手し
👉 他のサービスに対してそのまま試す攻撃です。

---

攻撃の流れ

1. 他サービスから認証情報が流出
2. 攻撃者がリストを入手
3. 別のサービスでログインを試行
4. 同じ情報を使っているアカウントに侵入成功

---

なぜ成功するのか

• 多くの人がパスワードを使い回している
• 正しい組み合わせなので成功率が高い

👉 推測ではなく「再利用」がポイント

---

どんな場面で使う？

攻撃される場面

• Webサービスのログイン
• ECサイト、SNS、社内システム

---

防ぐ場面（対策）

• パスワードの使い回し禁止
• 多要素認証（MFA）
• 異常ログイン検知（普段と違うIP・時間）
• パスワード漏えいチェック機能

---

SG試験での考え方

👉 「推測か、流出か」

• 推測 → ブルートフォース・辞書攻撃
• 流出 → パスワードリスト攻撃

👉 この違いで判断する

---

よくある誤解・混同

❌ 誤解①：ブルートフォース攻撃と同じ

👉 ⭕ 違う

• ブルートフォース：総当たり
• リスト型：流出情報をそのまま使う

---

❌ 誤解②：時間がかかる攻撃

👉 ⭕ むしろ高速

• 正しい組み合わせなので試行回数が少ない

---

❌ 誤解③：複雑なパスワードなら安全

👉 ⭕ 不十分

• 他サイトで漏れていれば意味がない

---

SG試験のひっかけポイント

• 「パスワードの複雑化だけで防げる」とする選択肢
  → ❌ 不十分

👉 正しくは

• 使い回し禁止＋多要素認証

---

確認問題（SG試験対策）

次のうち、パスワードリスト攻撃の説明として最も適切なものはどれか。

A. 他サービスから漏えいしたID・パスワードの組合せを使い、不正ログインを試みる攻撃である。 B. すべての文字列を順番に生成してパスワードを試す攻撃である。 C. 利用者のブラウザに不正なスクリプトを実行させる攻撃である。 D. DNSサーバのキャッシュに偽情報を入れる攻撃である。

▶ クリックして答えと解説を見る（ここを開く）

正解：A

解説

• A：使い回された認証情報を悪用する点が特徴です。
• B：ブルートフォース攻撃の説明です。
• C：XSSの説明です。
• D：DNSキャッシュポイズニングの説明です。

👉 判断ポイント パスワードリスト攻撃は「漏えい済みの組合せを試す」攻撃。

---

まとめ（試験直前用）

• パスワードリスト攻撃＝「流出情報の使い回し攻撃」
• 特徴は
  👉 成功率が高い・高速
• 対策は
  👉 使い回し禁止＋MFA
• 試験では
  👉 「推測か流出か」で切り分ける

🔗 関連記事

• アクセス制御モデルとは？RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
• アクセス管理とは？特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
• 攻撃者の種類とは？目的と特徴で整理する【情報セキュリティマネジメント】
• 認証・アクセス制御まとめ｜SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
• 認証・認可・アクセス制御の違いとは？役割の切り分けを整理【情報セキュリティマネジメント】

---

🏠 情報セキュリティマネジメントトップに戻る

← 請負契約と派遣契約の違いとは？指示系統で判断するポイント【SG試験】 フィッシングとは？だましの手口と見抜き方【情報セキュリティマネジメント】 →