この記事を読むために必要な時間は約4分(1213文字)です。
リスト攻撃とは?
- 投稿日:2018-08-28
- 最終更新日:2020-09-30
- 表示:210PV
- カテゴリ:攻撃方法
今回は、ニュース番組などでも紹介されることがある、「リスト」とその「リスト」を使った攻撃である、「リスト攻撃」についてお話します。
目次
リストとは?
意味
多くの場合、「不正な手段」で入手したIDとパスワードをまとめたモノです。この場合の「不正な手段」とは、サーバなどに「不正に侵入」したり、データベースに「不正アクセス」したりといった、IDやパスワードの情報を漏えいする手段です。
リスト攻撃とは?
攻撃方法
「リスト」を使用し、正しいルートで不正なアクセスを行う行為をリスト攻撃と呼びます。正しいIDとパスワードを使用して正規のウェブサイトにログインするという特性上、ウェブサイト側としては異常に気がつく事ができません。
これは、本来のユーザーがログインを行っているわけではないものの、IDとパスワードのみでは、「リスト攻撃者」か「本来のユーザー」かの区別がつかないためです。
このため、不正が行われているという問題に気付く事が遅れてしまい、対応が後手後手になってしまうという課題があります。
なぜ多い?
攻撃の難易度
リスト攻撃は、正規のルートで攻撃しますから、他の攻撃に比べて技術力は必要ありません。このため、リストが手に入れば簡単に攻撃できることが原因です。
リストの入手 その1
ニュース番組などでも取り上げられるくらい、リスト攻撃は頻繁に行われています。頻繁に行われるほど、厳重に管理をしているはずの個人情報を簡単に無関係なユーザーが盗み出す事ができるのかという疑問が生じてもおかしくはありません。
実際問題として、この「リスト」は、闇サイトなどで不正に売買されていることもあります。
このため、「不正な手段」を用いて直接入手できるような技術力が無い攻撃者であっても、買ってしまえば入手可能です。
このように、「リスト」については、不正売買により、攻撃者が簡単に入手できます。
「リスト」が簡単に入手できれば、その後の攻撃は簡単ですので、頻繁におこります。
リストの入手 その2
現在では通販サイトをはじめとするあらゆるウェブサイトでアカウントを作成して使用するという状態になっています。一つ一つ別のIDとパスワードを用意すれば安全であるとはわかっていつつ、管理の手間を考えて全てを同じ文字列に設定して使い回してしまっている方が少なくありません。
そのような使い回しをしているユーザーのIDとパスワードを、更に「リスト」にして、
- 悪意を持っている組織の中で共有されたり
- 別のサイトの情報が使い回しされたり
類似の攻撃方法
類似の攻撃方法として辞書攻撃があります。攻撃回数の比較などお話をしていますので、ご興味がある方は「辞書攻撃とは?」もご覧ください。
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|
 |  |
