メニュー

ホーム図:矢印アイコン黒ブログ図:矢印アイコン黒

パスワードリスト攻撃(リスト型攻撃)とは?標的にされる原因や対策を解説

2025.9.30

パスワードリスト攻撃(リスト型攻撃)とは?標的にされる原因や対策を解説

パスワードリスト攻撃(リスト型攻撃)とは?標的にされる原因や対策を解説

目次

  1. パスワードリスト攻撃とは
    1. ブルートフォース攻撃との違い
  2. パスワードリスト攻撃の標的にされる原因
    1. IDやパスワードの使い回し
    2. フィッシング詐欺
    3. システムやWebサイトへの直接攻撃
  3. パスワードリスト攻撃による主な被害
    1. 不正ログイン
    2. 情報漏洩
    3. 金銭的被害
  4. 【利用者側】パスワードリスト攻撃に有効な対策
    1. 推測されにくいパスワードを設定する
    2. 多要素認証を活用する
    3. 使っていない休眠アカウントは破棄する
  5. 【運営側】パスワードリスト攻撃に有効な対策
    1. パスワードポリシーの策定
    2. 休眠アカウントを廃止する
    3. ワンタイムパスワードを発行する
    4. 不正ログインのサインを検知する
    5. WAFを活用する
  6. まとめ

パスワードリスト攻撃とは、攻撃者が不正に入手したIDとパスワードのリストを使って、さまざまなオンラインサービスへ不正ログインを試みるサイバー攻撃です。

本記事では、パスワードリスト攻撃の概要や標的にされる原因について解説します。パスワードリスト攻撃を防ぐための対策も紹介しているので、ぜひ参考にしてください。

パスワードリスト攻撃とは

パスワードリスト攻撃とは、流出したID・パスワードの組み合わせをリスト化し、そのリストを使って不正ログインを試みるサイバー攻撃です。攻撃者は自動化ツールを用いて、入手したID・パスワードの組み合わせを次々と入力し、標的となるWebサイト・サービスへの不正ログインを試みます。

「リスト型攻撃」や「アカウントリスト攻撃」と呼ばれることもあり、国内でも多くの被害が出ている攻撃手法です。

関連記事:パスワード管理の重要性とは?情報漏洩による損害とパスワードの安全な管理方法を解説

ブルートフォース攻撃との違い

ID・パスワードを利用した不正アクセスの手法には、「ブルートフォース攻撃」というものがありますが、パスワードリスト攻撃との違いは以下のとおりです。

パスワードリスト攻撃 すでに流出したID・パスワードの組み合わせで不正ログインを試みる手口
ブルートフォース攻撃 特定のIDに対して、考えられるすべてのパスワードを総当たりで試す手口

ブルートフォース攻撃の反対で、特定パスワードを多数のIDに総当たりで試行することを「パスワードスプレー攻撃」といいます。

パスワードリスト攻撃は総当たり式の攻撃とは異なり、ログインの試行回数が少ないことから正規ログインとの区別がつきにくく、システム側での検出が困難です。不正ログインを未然に防ぐことが難しく、被害が拡大しやすい傾向にあります。

関連記事:ブルートフォース攻撃(総当たり攻撃)とは?攻撃の仕組みから被害事例、対策方法を解説

パスワードリスト攻撃の標的にされる原因

パスワードリスト攻撃の標的にされる原因としては、以下の3つが挙げられます。

IDやパスワードの使い回し

パスワードリスト攻撃の被害に遭う大きな原因は、IDやパスワードの使い回しです。過去に流出した認証情報がリスト化され、攻撃者はそれを使って複数サービスへ不正ログインを試みます。同じパスワードを使っていると、1件の流出から他のアカウントまで被害が広がる危険があります。

こうしたリストはダークウェブで売買されることも多く、攻撃者の手に渡ることで被害リスクはさらに高まります。ダークウェブとは、特殊なソフトウェアやブラウザを使用した場合にのみアクセスできる、インターネットの深い領域のことです。匿名性の高さから非合法な取引の温床となっており、流出情報が複数の攻撃者に販売されることで、被害に遭うリスクが高まってしまいます。

フィッシング詐欺

パスワードリスト攻撃に使われるID・パスワードは、多くの場合、悪意ある第三者によって流出させられたものです。その代表的な流出経路の一つが「フィッシング詐欺」です。

フィッシング詐欺は、実在する企業やサービスにそっくりな偽サイトへユーザーを誘導し、ログイン情報を入力させて盗み取る手法です。

よくある例としては、金融機関やクレジットカード会社を装い「不正利用の可能性があります。今すぐセキュリティ対策をしてください」といったメールやSMSを送り、偽のログインページに入力させる方法です。このとき入力したIDやパスワードは攻撃者に渡ってしまい、不正利用へとつながります。

システムやWebサイトへの直接攻撃

システムやWebサイトへの直接攻撃により、ID・パスワードを不正に取得されるケースも少なくありません。SNSや通販サイト、サブスクリプションサービスなどのWebサービス利用には、ID・パスワード登録が必要なケースが大半です。

このようにユーザー情報を正規に取得・保有しているシステムやWebサイトが攻撃を受け、IDやパスワードなどが流出してしまう事例が増えています。

たとえば「サイトA」からユーザー情報が流出すると「サイトA」と同じID・パスワードを使用している「サイトB」も被害に遭うリスクがあります。一度どこかのサービスから情報流出すると、不正ログイン被害が連鎖的に発生する危険性があるのです。

パスワードリスト攻撃による主な被害

パスワードリスト攻撃を受けると、以下のような被害の恐れがあります。

不正ログイン

パスワードリスト攻撃を受けると、同じID・パスワードを使っている他アカウントに不正ログインされてしまいます。

たとえば企業の公式SNSでは「勝手に不正投稿される」「パスワードを変更されてログインできなくなる」といった被害が想定されます。

さらにWebサイトの管理者アカウントが乗っ取られると、サイトの改ざんによって利用者を巻き込む二次被害へ発展する恐れもあります。

情報漏洩

パスワードリスト攻撃によってアカウントに不正ログインされると、情報漏洩被害の可能性も上がります。

たとえば情報流出元である「サイトA」ではID・パスワードしか登録していなくても、「サイトB」に氏名や住所、電話番号などを登録していた場合は、それらの個人情報が流出することでさらなる被害につながりかねません。

企業の業務システムや社内ネットワークへ不正アクセスされた場合は、組織の機密情報が漏洩する恐れがあります。

金銭的被害

パスワードリスト攻撃の標的となったサービスによっては、オンライン通販サイトでの不正購入やネットバンキングでの不正送金などにより、金銭的被害のケースもあるでしょう。

企業の場合は、Webサイトの復旧や個人情報流出に対する損害賠償などに多くのコストを要します。取引先リストや顧客情報などが流出してしまえば、社会的信用の低下は避けられません。

【利用者側】パスワードリスト攻撃に有効な対策

ここからは、パスワードリスト攻撃からアカウントを守るための対策について解説します。まずは、サービスやシステムの利用者側が講じるべき3つの対策を紹介します。

推測されにくいパスワードを設定する

アカウントを登録する際は、推測されにくいパスワードを設定することが大切です。

短く分かりやすいパスワードは突破されやすく、ID・パスワードの組み合わせを攻撃者に入手されてしまうリスクが高まります。以下のようなパスワードは避けるようにしましょう。

  • ユーザーの名前や誕生日が含まれるパスワード
  • 「12345」などの単純なパスワード
  • 一般的な用語、人名など、辞書に乗っているような言葉が含まれるパスワード

もちろん、同じパスワードを使い回さないことも重要です。

多要素認証を活用する

ID・パスワードでのログイン以外に顔認証やSMS認証などを組み合わせれば、アカウントの安全性を高められます。万が一ID・パスワードの組み合わせが流出しても、2つめの認証により被害発生を抑制することが可能です。

関連記事:多要素認証(MFA)とは?仕組み・メリットから導入方法まで解説

使っていない休眠アカウントは破棄する

休眠アカウントとは、登録したまま使わずに放置しているアカウントのことです。こうしたアカウントはセキュリティ対策が不十分になりがちで、攻撃者に狙われやすい傾向があります。

もしIDやパスワードが流出すると、別のアクティブなアカウントへの不正アクセスに悪用される危険があります。使っていないアカウントは、定期的に確認して不要なものは削除しておくことが大切です。

【運営側】パスワードリスト攻撃に有効な対策

パスワードリスト攻撃の被害を防ぐためには、Webサイトやサービス運営側にも万全な対策が求められます。

パスワードポリシーの策定

パスワードポリシーとは、ユーザーに安全なパスワードを設定させるためのルールです。パスワードの長さや使用する文字種類(小文字、大文字、数字など)、パスワードの有効期限などを設定することで、パスワードリスト攻撃の被害リスクを低減できます。

またパスワードの使い回しをしないよう、ユーザーに周知することも大切です。

休眠アカウントを廃止する

休眠アカウントを放置すると、ID・パスワードが流出していた場合に気づかれにくく、不正ログインの温床になりやすいです。攻撃者はこうした放置アカウントを足がかりに、他の重要なサービスへの不正アクセスを狙うこともあります。

そのため、一定期間使われていないアカウントを廃止することは、パスワードリスト攻撃のリスクを減らす有効な対策です。

ワンタイムパスワードを発行する

ユーザー側の対策でも紹介したとおり、多要素認証はパスワードリスト攻撃を防ぐうえで有効な手段のひとつです。運営側が多要素認証を推奨または必須とすれば、ユーザーはアカウントの安全性を維持しやすくなります。

なかでもおすすめなのが、一度だけ使えるワンタイムパスワードを発行する方法です。メールやSMSなどで6桁のワンタイムパスワードを発行し、追加認証を求めるようにすれば、セキュリティ対策を強化できます。

不正ログインのサインを検知する

万が一の場合も被害を最小限に抑えられるよう、不正ログインを検知するシステムを導入しましょう。

たとえば、普段とは異なるIPアドレスからのログインがあった場合に通知するようにすれば、ユーザーは即座にパスワード変更などの対応ができます。不審ログインへの対策として、一定以上の認証エラーを検知したらアカウントをロックするなどの仕組みも有効です。

WAFを活用する

WAF(Web Application Firewall)は、Webサイトやアプリへの不正なアクセスを検知・遮断する仕組みです。パスワードリスト攻撃では、攻撃者が短時間に大量ログインを繰り返すため、通常利用ではありえないほどのアクセスが発生します。

WAFを導入しておくと、同じIPアドレスからの連続アクセスや不審なパターンを自動で検出・ブロックできるため、運営側は不正ログインを未然に防ぎ、サービス全体の安全性を高められます。

関連記事:WAFとは?導入によって防げるサイバー攻撃や導入の注意点を解説

まとめ

パスワードリスト攻撃とは、すでに流出しているID・パスワードの組み合わせを用いて不正ログインを試みる手口です。

複数のサービスでID・パスワードを使い回していると、パスワードリスト攻撃の被害に遭うリスクが高まります。企業のサービスや業務システムなどが標的になった場合、機密情報の流出や社会的信用の低下による売上減少にもつながりかねません。

パスワードポリシーの策定やWAFの導入など、実効性のある対策を講じることが大切です。

この記事の執筆者

イラスト:須賀田 淳さん

SB C&S株式会社
ICT事業部 ネットワーク&セキュリティ推進本部
須賀田 淳

サイバーセキュリティのマーケティング歴5年。
最新のトレンドや事例をリサーチ。専門的なテーマも、初めての方が理解しやすいように噛み砕いて発信しています。

関連記事

セキュリティ製品選定のコツをご紹介 導入検討者向け資料をダウンロードする うちの会社に最適なセキュリティ製品は?専任の担当者に相談する
図:テキスト01

SB C&Sに相談する

Contact

SB C&Sでは経験豊富な「セキュリティソムリエ」が、お客様の課題をヒアリングし、最適なソリューションをご提案します。
ご相談・お見積りのご依頼もお気軽にお問合せください。

資料ダウンロード

図:ダウンロードアイコン

重要な7大セキュリティ領域を
網羅した資料をご用意しています。

お問い合わせ

図:矢印アイコン

貴社の状況に合わせて
個別にご案内いたします。