【問195】個人情報保護士 練習問題|不正アクセス・サイバー攻撃の種類と対策
情報セキュリティ 問15/120難易度A(易しい)
問題文
パスワードリスト攻撃に関する次の記述のうち、最も適切なものはどれか。
- 1.パスワードリスト攻撃はすべての文字の組み合わせを試す総当たり攻撃と同じ手法である
- 2.パスワードリスト攻撃は、他のサービスから流出したID・パスワードの組み合わせを利用して不正ログインを試みる攻撃である
- 3.パスワードリスト攻撃に対しては、パスワードを長く複雑にすれば十分な対策となる
- 4.パスワードリスト攻撃は1つのアカウントに対して何度もログインを試みるため、アカウントロックで完全に防げる
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
すべての文字の組み合わせを試すのはブルートフォース攻撃(総当たり攻撃)です。パスワードリスト攻撃は流出したID・パスワードの組み合わせリストを使用する別の手法です。
選択肢2 → ✅正解
パスワードリスト攻撃は、他のWebサービスから漏えいしたID・パスワードの組み合わせを利用して別のサービスへの不正ログインを試みる攻撃です。複数のサービスで同じパスワードを使い回している利用者が被害に遭います。
選択肢3 → ❌誤り
パスワードリスト攻撃は実際に使用しているパスワードそのものが流出しているため、パスワードの長さや複雑さでは防げません。サービスごとに異なるパスワードを設定することが重要です。
選択肢4 → ❌誤り
パスワードリスト攻撃は正規のID・パスワードの組み合わせを使用するため、各アカウントに対する試行回数は少なく、アカウントロックが発動しない場合があります。
背景知識
パスワードリスト攻撃はパスワードの使い回しを悪用した攻撃であり、多くの不正ログイン事件の原因となっています。利用者が複数のサービスで同じパスワードを使い回していると、一つのサービスから漏えいした情報で他のサービスにも不正ログインされてしまいます。対策としてはパスワードの使い回しの禁止、多要素認証の導入、パスワードマネージャーの活用が有効です。サービス提供者側では多要素認証の提供やリスクベース認証の導入が推奨されます。
学習アドバイス
ブルートフォース攻撃、辞書攻撃、パスワードリスト攻撃の違いを明確に区別できるようにしましょう。パスワードリスト攻撃は「使い回し」がキーワードです。
まとめ
- パスワードリスト攻撃は流出したID・パスワードを利用する攻撃
- パスワードの使い回しが被害の原因
- 多要素認証とパスワードの使い回し禁止が有効な対策