セキュリティの
学び場

アカウントリスト攻撃とは

アカウントリスト攻撃は不正ログインを試みる攻撃です。

不正ログインを試みる代表的な攻撃方法としては他にも「ブルートフォース攻撃」や「リバースブルートフォース攻撃」等があります。

いずれの場合でも、攻撃者は複数のユーザアカウントやパスワードの組み合わせを使用して、システムやアプリケーションに対して自動化されたログイン試行を行います。

アカウントリスト攻撃の主な手順は以下の通りです。

• 1. アカウントリストの入手：攻撃者はアカウントのリストをダークウェブ等から入手します。このリストには流出したパスワードや他の攻撃手法で入手したアカウントリストが含まれる場合があります。
• 2. 自動化ツールの使用：攻撃者は、スクリプトや自動化ツールを使用して、アカウントリスト内のユーザ名とパスワードを用い、大量のログイン試行を迅速に実行することができます。
• 3. ログインの試行：攻撃者は、アカウントリスト内のアカウントID（電子メールアドレス等）とパスワードでログインを試行します。

アカウントリスト攻撃とブルートフォース攻撃の違い

狭義のブルートフォース（総当たり）攻撃は、名前の通り、攻撃者が様々な組み合わせのアカウントIDとパスワードを総当たり的に試すことでパスワードを解読しようとする攻撃手法です。攻撃者は、あらゆる組み合わせ（文字や数字、特殊文字の組み合わせ）を順番に試し、正しいパスワードを見つけるまで繰り返します。ブルートフォース攻撃は非常に時間と計算能力を要するため、強力なパスワードに対しては非現実的な攻撃手法となります。

「総当たり」の亜種として「よく使われるアカウントID」と「よく使われるパスワード」の辞書を総当たりで試行する「辞書攻撃」があります。

一方、アカウントリスト攻撃では「（他のサービスで）有効だった可能性のあるアカウントIDとパスワードのリスト」を使用して、ログイン試行を行います。このようなリストはダークウェブ等で取引や公開がされており、過去の情報インシデントで流出したアカウント情報やブルートフォースに成功したアカウント情報などが含まれる場合があります。ユーザーの中には「サービス間でパスワードを使いまわしているユーザ」が一定数いると考えられるため、（攻撃者から見て）効率よく攻撃が成功すると期待できます。

なお、辞書攻撃やアカウントリスト攻撃はいずれも大量のログイン試行を行う事から「広義のブルートフォース攻撃」に含まれる場合があります。

アカウントリスト攻撃の対策

アカウントリスト攻撃の対策として以下のような例が挙げられます。

• パスワード管理ツールの利用
  アカウントリスト攻撃を防ぐ基本的な方法は「パスワードの使いまわしをしない」事です。一方で無数にあるサービスにそれぞれ異なる複雑なパスワードを設定し、それを覚えておくことは現実的ではありません。
  そのため、パスワード管理ツールを使用することで、強力なパスワードを生成し、安全に保存・管理することができます。これにより、複数のサービスに異なるランダムなパスワードを使うことができます。
• パスワードレス認証の利用
  パスワードレス認証はパスワードに依存せずに所持認証などにより安全な認証を実現する仕組みです。パスワードレス認証の代表例としてパスキーなどが挙げられますが、普及途上であり、サービスによっては利用できない場合もあります。
• 2要素認証の有効化
  サービスが2要素認証をサポートしている場合は、有効にした方がよいです。2要素認証は、パスワードに加えて別の認証要素（SMSコード、認証アプリ、指紋など）を必要とするため、セキュリティの強化につながります。
• サービスのセキュリティ設定の確認
  オンラインサービスの中には、アカウントセキュリティのための追加の設定オプションを提供しているものがあります。ログインアラートの有効化や不審なアクティビティの監視など、これらを設定することで不正な挙動を探知することができます。