リスト型攻撃 りすとがたこうげき
不正ログインパスワードリストクレデンシャルスタッフィング多要素認証パスワード使い回しアカウント乗っ取り
リスト型攻撃について教えて
簡単に言うとこんな感じ!
どこかで流出したIDとパスワードのリストを使って、別のサービスにも「同じ組み合わせで入れるかも?」と片っ端から試す攻撃だよ。パスワードを使い回してると、1か所の流出が全サービスへの不正ログインに繋がっちゃうんだ!
リスト型攻撃とは
リスト型攻撃(クレデンシャルスタッフィング、Credential Stuffing とも呼ばれる)とは、過去に別のサービスから流出したIDとパスワードの組み合わせリストを使い、他のWebサービスへの不正ログインを大量・自動的に試みるサイバー攻撃の手法です。
攻撃者はダークウェブなどで入手した「流出アカウントリスト」をもとに、ボット(自動プログラム)を使って何万件・何十万件ものログイン試行を行います。パスワードを複数のサービスで使い回しているユーザーが多いことに目をつけた攻撃であり、成功率が低くても件数が膨大なため、攻撃者にとって効率の良い手口となっています。
ブルートフォース攻撃(総当たり攻撃)と異なり、リスト型攻撃は「実際に使われた正しい認証情報」を使うため、パスワードの複雑さだけでは防げないのが大きな特徴です。企業にとっては自社に直接の情報漏洩がなくても、他社の流出が自社の被害につながるという点で、非常に厄介な脅威です。
リスト型攻撃の仕組みと流れ
[ダークウェブ等] [攻撃者] [標的サービス]
流出アカウントリスト → ボットで自動試行 → ログイン成功 → アカウント乗っ取り
(ID + パスワードの組) 大量・高速・分散 ログイン失敗 → スキップ| ステップ | 内容 | 特徴 |
|---|---|---|
| ① リスト入手 | 過去のデータ侵害で流出したID・パスワードをダークウェブ等で購入・入手 | 数百万件単位で流通していることも |
| ② ボット準備 | 自動ログイン試行ツール(ボット)を用意し、プロキシで送信元IPを分散 | 同一IPのブロックを回避する |
| ③ 大量試行 | 各サービスのログインフォームに対してリストを順番に流し込む | 成功率1〜2%でも数万件試せば数百件成功 |
| ④ 不正アクセス | ログイン成功したアカウントで個人情報の搾取・ポイント不正利用・なりすましなど | 被害者は気づきにくい |
ブルートフォース攻撃との違い
| 比較軸 | リスト型攻撃 | ブルートフォース攻撃 |
|---|---|---|
| 使うデータ | 実際に流出した認証情報リスト | ランダム・辞書ワードを総当たり |
| 成功の条件 | パスワードの使い回し | パスワードが単純・短い |
| 試行数 | 数万〜数百万件(リスト分) | 理論上無限 |
| 検知の難しさ | 難しい(正規の認証情報を使うため) | 比較的検知しやすい(異常な試行数) |
| 対策の難しさ | 高い(複雑なパスワードだけでは防げない) | 長く複雑なパスワードで防ぎやすい |
なぜ被害が広がりやすいのか
調査によれば、インターネットユーザーの60〜70%以上が複数サービスで同じパスワードを使い回しているとされています。攻撃者にとっては、「どこか1か所のリストさえ手に入れれば、他のサービスにも使える」という状況が生まれており、被害が連鎖しやすい構造になっています。
歴史と背景
- 2000年代後半〜 — SNSやECサービスの普及とともに、大規模なデータ侵害(ハッキング)が増加。流出アカウント情報がダークウェブで売買されるようになる
- 2012年 — LinkedInやeHarmonyなど大手サービスから数百万件規模の認証情報が流出。これらが他サービスへの攻撃に転用されるケースが顕在化
- 2013〜2016年 — Yahoo!・Adobe・Dropboxなど相次ぐ大規模流出。累計で数十億件規模の認証情報がダークウェブに出回る
- 2016年頃〜 — 「クレデンシャルスタッフィング」という名称が定着。OWASPが主要なWebアプリケーション脅威として位置づけ
- 2018年〜 — 日本国内でも宅配便サービス・通販サイト・ポイントサービスへのリスト型攻撃被害が相次ぎ報道される。IPAも注意喚起を強化
- 2020年代〜 — ボットの高度化・分散化により検知がさらに困難に。MFA(多要素認証)の普及が対策の中心に
攻撃への対策と関連技術
リスト型攻撃への対策は「一点突破」では不十分で、複数の対策を組み合わせる多層防御が基本です。
企業・サービス提供者が取るべき対策
| 対策カテゴリ | 具体的な施策 | 効果 |
|---|---|---|
| ボット対策 | CAPTCHA・行動分析・デバイスフィンガープリント | 自動ログイン試行の検知・ブロック |
| レート制限 | 同一IP・アカウントへの試行回数上限 | 大量試行の抑制 |
| MFA強制 | SMS・アプリ認証・パスキーの必須化 | 認証情報が漏れても不正ログイン防止 |
| 流出リスト照合 | Have I Been Pwned API等でパスワードを照合 | 流出済みパスワードの使用を拒否 |
| 異常検知 | 通常と異なる地域・端末からのログインを検知 | 侵害されたアカウントの早期発見 |
| WAF・CDN | Webアプリケーションファイアウォールでボット遮断 | インフラ層でのブロック |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 8949 | CBOR(Concise Binary Object Representation)— 認証情報の効率的な表現に関連 |
| RFC 9110 | HTTP Semantics — ログイン試行のレスポンスコード(401, 429など)の定義 |
| RFC 6238 | TOTP(Time-based One-Time Password)— MFAの主要方式。リスト型攻撃対策として重要 |
| RFC 4226 | HOTP(HMAC-based One-Time Password)— ワンタイムパスワードの基盤仕様 |
関連用語
- 多要素認証(MFA) — パスワード以外の第2・第3の認証要素を加えてアカウントを守る仕組み
- ブルートフォース攻撃 — パスワードをランダムまたは辞書ワードで総当たりする攻撃手法
- パスワードマネージャー — 複数サービスのパスワードを安全に管理・生成するツール
- パスキー — パスワード不要の次世代認証方式。フィッシングやリスト型攻撃に強い
- データ侵害 — サービスから個人情報・認証情報が流出する事故。リスト型攻撃の情報源になる
- CAPTCHA — ボットと人間を見分けるチャレンジ。自動ログイン試行の検知に使われる
- WAF(Webアプリケーションファイアウォール) — Webへの不正アクセスをアプリ層で検知・遮断するセキュリティ装置
- ゼロトラスト — 「信頼しない、常に検証する」を原則としたセキュリティモデル