基本情報技術者試験で出題される、「パスワードリスト攻撃」とは何か、パスワードリスト攻撃への対策を詳しく紹介します。
まずは、過去問を見てみましょう。
パスワードリスト攻撃の手口に該当するものはどれか。
ア. 辞書にある単語をパスワードに設定している利用者がいる状況に着目して,攻撃対象とする利用者IDを一つ定め,辞書にある単語やその組合せをパスワードとして,ログインを試行する。
イ. パスワードの文字数の上限が小さいWebサイトに対して,攻撃対象とする利用者IDを一つ定め,文字を組み合わせたパスワードを総当たりして,ログインを試行する。
ウ. 複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して,不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて,ログインを試行する。
エ. よく用いられるパスワードを一つ定め,文字を組み合わせた利用者IDを総当たりして,ログインを試行する。
パスワードリスト攻撃とは
パスワードリスト攻撃とは、ID(メールアドレス等)とパスワードの組み合わせが書いてあるリストを元に不正にアカウントにアクセスする手法です。
具体的には?
Aサイトで情報が流出したとすると、そこで使われているIDとパスワードのリストを作成し、それをもとにBサイトでアクセスを試みます。
同じIDとパスワードを用いていることは多いので、結構な確率でアクセスできてしまいます。
インターネットではパスワードとIDのリストが日常茶飯事で流出しています。
こちらのサイトでメールアドレスが流出しているかを調べることができるので、興味があれば調べてみてください。
(結構流出しています)
もちろん、このサイトの結果に問題がなかったからといって油断は禁物です。
パスワードリスト攻撃の対策
パスワードリスト攻撃は登録サイトごとにパスワードを変えることで防ぐことができます。
ただ、現実的に全部覚えるのは大変です。そこで、パスワード管理ソフトなどを利用しましょう。
パスワード管理ソフトはたくさんあるパスワードを比較的安全に保存できます。
過去問解説(基本情報平成31年春期 午前問37)
それでは、最初に紹介した過去問を解説します。
パスワードリスト攻撃の手口に該当するものはどれか。
ア. 辞書にある単語をパスワードに設定している利用者がいる状況に着目して,攻撃対象とする利用者IDを一つ定め,辞書にある単語やその組合せをパスワードとして,ログインを試行する。
→辞書攻撃。辞書に載っている単語を使ったパスワードのパターンをたくさん用意しておいて、色々当てはめてみる方法。
イ. パスワードの文字数の上限が小さいWebサイトに対して,攻撃対象とする利用者IDを一つ定め,文字を組み合わせたパスワードを総当たりして,ログインを試行する。
→ブルートフォース攻撃。パスワードをとにかく入れまくって試してみる方法。
ウ. 複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して,不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて,ログインを試行する。
→パスワードリスト攻撃。当記事で解説。
エ. よく用いられるパスワードを一つ定め,文字を組み合わせた利用者IDを総当たりして,ログインを試行する。
→リバースブルートフォース攻撃。よく使われる文字列にパスワードを固定しておいて、IDを色々変えてログインを試す方法。パスワードの入力回数に上限はあっても、IDの入力回数に制限がないサイトに使われる。
よって、この問題の答えはウになります。
まとめ
今回は、基本情報技術者試験で出題される「パスワードリスト攻撃」について説明しました。
本記事を読んだ方は、パスワードの管理についてもう一度確認してみてください。