パスワードリスト攻撃(リスト型攻撃、アカウントリスト攻撃)とは、不正ログイン手法の1つである。
概要
悪意のある者が、何らかの方法で事前に入手したIDとパスワードのリストを流用し、自動的に連続入力するプログラムなどを用いてそれらIDとパスワードを入力することで、ウェブサイトにログインを試みる手口である[1]。
パスワードのリストがあれば、ブルートフォース(総当たり)よりもずっと効率が良い。
対策
ユーザー側
パスワードの使い回しをしないこと。
サイト管理者側
パスワードを平文ではなく、ハッシュ値(平文にハッシュ関数を作用させた加工データ)に変換して保管する方法が挙げられる。但し、ハッシュ値からパスワードをクラックする攻撃手法としてレインボーテーブル・総当たり攻撃というものが存在する為、この方法は決して万能とは言えない。
レインボーテーブルを使った攻撃
パスワードの候補のハッシュ値をあらかじめ計算しておくことで、高速にパスワードを割り出す手法(本当はもう少し高度なことをしているが説明が面倒なので省略)。
あらかじめ長さを決めて(例えば12文字)、その文字列長のパスワードに対して高速に割り出しができるような仕組みを取っているため、サイト管理者側は例えば「ユーザー入力のパスワード」+「ランダムな40文字」という文字列のハッシュ値(およびその「ランダムな40文字」)を保管することで、簡単に回避できる。
総当たり攻撃
ハッシュ関数を何度も適用することで、攻撃者の計算を遅らせることができる。(stretching)
例えば、パスワードにハッシュ関数を10000回適用したデータを保管し、そのデータが漏洩したときのことを考える。ただのハッシュ関数を適用したデータが漏洩した場合1日でもとパスワードがわかってしまうとする。このとき、ハッシュ関数を10000回適用したデータからパスワードを割り出すには10000日 ≒ 27年かかる。もっと回数を多くすれば事実上パスワードの割り出しが不可能になる。(あるいは、最近の見方でいうとクラウドサービスなどで並列計算はかなり楽になっており単純な時間換算はあまり意味をなさないが、総当たりのために並列度をあげると費用がかかるので、費用が一定量を超えるとそもそも無意味になる)
事例
罰則
パスワードリスト攻撃(不正アクセス行為)、及びそれを目的としたIDとパスワードのリストの入手(他人の識別符号を不正に取得する行為)は、不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)によって禁止されている。違反者は、前者の場合3年以下の懲役刑又は100万円以下の罰金刑、後者の場合1年以下の懲役刑又は50万円以下の罰金刑に処させる。[3]
関連動画
関連商品
関連項目
脚注
- *「 全てのインターネットサービスで異なるパスワードを! 」~ 多くのパスワードを安全に管理するための具体策 ~: IPA
- *サンドラッグにリスト型攻撃 個人情報・クレカ情報など1万9000件流出の可能性: ニコニコニュース
- *不正アクセス行為の禁止等に関する法律: 総務省
- 0
- 0pt