パスワードリスト攻撃（クレデンシャルスタッフィング）とは？

詳細解説

パスワードリスト攻撃（クレデンシャルスタッフィング）とは、過去に発生したデータ漏洩事件で流出したIDとパスワードの組み合わせリストを使い、別のサービス（銀行・ショッピングサイト等）にそのままログインを試みるサイバー攻撃です。多くのユーザーが複数サービスで同じパスワードを使い回しているという人間の行動パターンを悪用します。ブルートフォース攻撃や辞書攻撃と異なり、実際に使われたIDとパスワードの組み合わせを使うため、アカウントロックアウトをトリガーしにくい（試行回数が少ない）という特徴があります。対策として、「パスワードの使い回し禁止」（各サービスでユニークなパスワード）と「多要素認証（MFA）の導入」が最も有効です。パスワードマネージャーの使用も推奨されます。IT試験では「辞書攻撃・ブルートフォースとの違い」「使い回しパスワードが攻撃成功の直接原因」「MFAによる対策効果」が頻出です。

ITパスポートでの出題ポイント

• 1流出済みID・パスワードリストを別サービスに試用する攻撃
• 2パスワード使い回しが攻撃成立の前提条件
• 3ブルートフォース・辞書攻撃との違い（既知の組み合わせを使う）
• 4対策はパスワード使い回し禁止＋MFA導入の組み合わせ

関連用語