[ 通常表示 ]  [ 簡易表示 ]  [ シンプル表示 ]

「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典イメージぴよ画像「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

アカウントリスト攻撃

pointこの用語のポイント

pointアカウントを乗っ取るための手法だよ

point他のサービスから盗んだIDとパスワードの組み合わせを片っ端から試すよ

pointIDとパスワードを使いまわしていると、乗っ取られちゃうよ

スポンサーリンク

簡単に書くよ

アカウントリスト攻撃とは

「リスト型攻撃」のこと。
つまり

他人のアカウントを乗っ取る際のやり方のひとつで、他のサービスから盗んだ利用者の情報(IDとパスワードの組み合わせ)を片っ端から試していくやり方
です。

image piyo

詳しく書くよ

※このページの説明は「リスト型攻撃」の説明と、ほとんど同じです。既に「リスト型攻撃」の説明をご覧になった方は、読んでもあまり意味は無いと思います。

Aサービスを利用している人のIDパスワードのリストを盗んで、Bサービスで片っ端から試すことによって、AサービスとBサービスで同じID・パスワードを使っている人のアカウントを盗んでやるぜ!な悪いことが「アカウントリスト攻撃」です。
リスト型攻撃」や「パスワードリスト攻撃」などとも呼ばれます。

アカウントリスト攻撃

例えば、そうですね。

ピヨ太君は、動画共有サービス「ぴよぴよ動画」を利用しています。
このサービスは会員様限定サービスです。
認証を通らないと使えません。

アカウントリスト攻撃2

ピヨ太君は

ID:piyota
パスワード:piyo2


で会員登録しています。

アカウントリスト攻撃3

また、ピヨ太君は、つぶやきサービス「ぴよったー」も利用しています。
このサービスも会員様限定サービスです。
認証を通らないと使えません。

アカウントリスト攻撃4

ピヨ太君は

ID:piyota
パスワード:piyo2


で会員登録しています。
ぴよぴよ動画と同じです。

アカウントリスト攻撃5

ある日のことです。

悪いアクマ君が、ぴよぴよ動画の利用者リストを盗み出しました。
IDとパスワードの組み合わせが載ったリストをゴソっと持っていったのです。

アカウントリスト攻撃6

それを知ったぴよぴよ動画の運営者はピヨ太君たち利用者に「ヤバい!パスワードが漏えいしたっぽい!パスワードを変更してよ!」と連絡しました。

アカウントリスト攻撃7

ピヨ太君は、慌ててパスワードを変更します。
今度は

ID:piyota
パスワード:piyo3


にしました。

アカウントリスト攻撃8

ふぅ、これで一安心です。

……と思ったのは、ピヨ太くんだけでした。

実はアクマ君は、ぴよぴよ動画から盗んだリストに載っているIDとパスワードの組み合わせで、ぴよったーの認証を通ろうとしていたのです。
具体的には、ぴよぴよ動画から盗んだリストに載っているIDとパスワードの組み合わせを片っ端からぴよったーで試します。

アカウントリスト攻撃9

そうすると、どうなるでしょう。

そうですね。

ピヨ太君のIDとパスワードを試したときに、ぴよったーの認証を通り抜けてしまいます。
ぴよぴよ動画とぴよったーで同じID・パスワードを使っていたからです。

アカウントリスト攻撃10

この状況は「アクマ君がピヨ太君のぴよったーアカウントを乗っ取った」と言えます。
パスワードの変更でも何でも、アクマ君の好きにできるからです。
あとは煮るなり、焼くなり、ご自由に、です。

このような攻撃が、アカウントリスト攻撃です。

まず、とあるサービスから利用者のID・パスワードを盗みます。
一人分なんて、ケチくさいことは言いません。
盗めるだけ全部、まとめてゴソっと盗みます。

アカウントリスト攻撃11

次に、盗んだリストに載っているID・パスワードの組み合わせで、他のサービスの認証にチャレンジします。

アカウントリスト攻撃12

IDとパスワードを使いまわしている人がいれば、認証を通り抜けます。
アカウントが乗っ取れる理屈です。

さらに別のサービスでも試せば、被害は倍増ですね。

アカウントリスト攻撃13

よく「パスワードの使い回しは止めましょう」と言われます。
それは、今回説明したアカウントリスト攻撃を避けるための措置です。

……と言っても、サービスごとにパスワードを変えるのって面倒くさいですよね。

個人的なオススメ対処法は、パスワードの中にサービスの識別子を埋め込むことです。
例えば、Google関連のサービスで使うパスワードであれば

piyotagoo

のようにします。
Yahoo!関連のサービスで使うパスワードであれば

piyotayah

です。
「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典であれば

piyotawa3

ですかね。

「piyota」の部分は使い回しです。
ルールさえしっかり決めておけば、覚えるのは「piyota」だけで済みます。

もちろん完全に変えた方が良いのは当たり前ですが、少なくとも、そのまま使いまわすよりは安全なはずです。
気が向いた方は、やってみてください。
セキュリティ意識の高い俺(私)、かっこいー!」な気分になれると思います。

image piyo2

一言でまとめるよ

まぁ「アカウントリスト攻撃」って単語が出てきたら「他のところで盗んだIDとパスワードの組み合わせを片っ端から試すぜ!なパスワードの破り方なんだな~」と、お考えください。

一番上に戻るよ
スポンサーリンク