今月は「パスワード解読」の2回目です。今回は、近年急増している「リスト型攻撃」について取り上げます。

「リスト型攻撃（リスト型アカウントハッキングなどとも呼ばれる）」とは、別のWebサイトなどから入手したアカウント情報（ユーザーIDとパスワードなど）のリストを使う攻撃手法です。リスト型攻撃で用いられるアカウント情報は、あるどこかのサービスなどから不正に入手したリストです。サイバー攻撃で窃取したり、サイト運営者が事故で漏えいさせたりしたアカウント情報を悪用し、不正にログインを試していくものです。

この攻撃は、前回で取り上げた総当たり攻撃と比べ、ユーザーが実際に使っているユーザーIDとパスワードの組み合わせに突き当たりやすく、不正ログインが成功しやすいのです。また、辞書攻撃の対策としてユーザー固有の情報などを使わず推測をしにくくしていても、使い回しをしている場合はこのような攻撃により被害に遭ってしまう可能性があります。

この攻撃が行われるようになったのは、アカウント情報を複数のサイトで使い回ししているユーザーが多数いるためです。「アカウント情報（ユーザーIDとパスワード）の使い回し」とは、あるインターネットサービスで使っているログインIDとパスワードの組み合わせを他のサービスでも使うことです。

パスワードは、人間の記憶に依存する方法です。人間の能力にはもちろん限界があり、何十通りものパスワードを考え、記憶することは困難です。そのため、どうしても「パスワードの使い回し」をしてしまいがちです。

これらの攻撃への対策としては、前回に説明したものと併せて、できる限り「アカウント情報の使い回し」を避けることです。特に厳重に管理すべきサービスや、たとえばインターネットバンキングやショッピングサイト、業務で使っているシステムなどでは使い回しをしないようにしましょう。パスワード管理ツールを使い、記憶するパスワードを最小限にして効率的に管理するという方法もあります。

また、パスワード以外の認証方法が提供されている場合は、それをできるだけ使うようにしましょう。たとえば、利用する端末（PCやスマートフォンなど）による認証や、二つの段階で認証を行う二段階認証、二つ以上の情報による認証「二要素認証（多要素認証）」など、面倒がらず、積極的に使うようにしましょう。