リスト型アカウントハッキング攻撃の特性と対策とは

2024年07月18日最終更新

複数のWebサービスの登録に、同じIDやパスワードを使い回しているユーザーをターゲットとしたリスト型アカウントハッキング攻撃。あるWebサービスから流出もしくは不正に入手したID・パスワードのリストを使い、ほかのWebサービスに対して不正ログインを試み、成功するとそのアカウントの乗っ取りや個人情報の窃盗などを行います。今回はこのリスト型アカウントハッキング攻撃の特性と、防御対策を紹介します。

＼無料で一括資料請求！／

ワンタイムパスワードの製品をまとめて資料請求！

ターゲットはパスワードを使い回しているユーザー

近年、会員サービスとともに広がるリスト型アカウントハッキング攻撃。その意味や仕組みはどのようなものでしょうか？実際の被害事例とともに解説します。

リスト型アカウントハッキング攻撃はパスワードの使いまわしを狙う

リスト型アカウントハッキング攻撃は、リスト攻撃・リスト型攻撃・パスワードリスト攻撃・アカウントリスト攻撃などとも呼ばれるサイバー攻撃の一種です。

インターネットが普及する昨今では、SNS・ブログサービス・動画共有サービス・企業サイトなど、一人が複数のWebサービスに会員登録することは珍しくなくなりました。IDやパスワード管理の煩わしさを軽減するために、どのWebサービスにも同じIDやパスワードを使い回しているユーザーは少なくありません。リスト型アカウントハッキング攻撃は、そういったユーザーをターゲットにしています。

リスト型アカウントハッキング攻撃の仕組み

攻撃者は、あるWebサービスから流出もしくは不正に入手したユーザーのアカウントリストをもとに、ほかのWebサービスに対し不正なログインを試みます。そしてログインに成功すると、そのアカウントユーザーになりすましたり個人情報を窃盗し悪用したり、さまざまな攻撃を仕掛けてきます。

リスト型アカウントハッキング攻撃の被害事例

被害事例としては、別のWebサービスで入手したアカウント情報をもとに、TwitterやFacebookなどに不正ログインするなりすましが多発しています。アカウントのユーザーになりすまし、海外の有名ブランド雑貨などの激安ショップに誘導する投稿が繰り返されるなどの事例が少なくありません。

以前から、不正な連携アプリによるスパム投稿の被害は報告されていました。しかし、リスト型アカウントハッキング攻撃の場合は、不正アプリをダウンロードさせる必要もないため、アカウントを乗っ取られたユーザーも対処法がわからず被害が拡大するケースが増えています。

リスト型アカウントハッキング攻撃の防御対策とは

ここまで、リスト型アカウントハッキング攻撃の概要や被害事例について解説してきました。次に具体的な対策についてみていきます。

対策（１）パスワードの使い回しをしないよう告知を徹底する

パスワードの使い回しは、さまざまな攻撃を受ける可能性や個人情報の漏えいにつながる危険な行為であることを、登録時にユーザーに告知します。また、パスワードの有効期限を設定し、一定期間を過ぎたら強制的にパスワードの変更をしてもらうのも効果的です。

対策（２）休眠アカウントを廃止する

アカウント登録をしたものの、すでに利用しなくなったユーザーのアカウントに不正ログインをされてしまうと、ユーザーは当然気づかないため対応が遅れてしまいます。１年以上ログインがない場合は、アカウントを廃止するなどのルールを決めることで、被害の拡大を防ぎます。

対策（３）普段と違うIPアドレスからのログインにはメールで確認する

攻撃者はWebサービスに対し何十、何百万回と不正なログインを試みます。ただし、一人のアカウントに対してのログイン試行は１〜２回のため、それが不正ログインであるのか正規のユーザーによるログインであるのか、判断が難しいことが多くあります。

これに対応するには、普段ユーザーがログインするIPアドレスとは違うIPアドレスからログインがあった場合、メールでそのユーザーに違うIPアドレスからログインがあったことを知らせることが効果的です。ユーザーがそれに気づき、すぐにパスワードを変更すれば被害は最小限に抑えられます。

対策（４）ワンタイムパスワードを使いログインを二重認証に変更する

ユーザーが作成したパスワードのほかに、Webサービスの提供事業者側でワンタイムパスワードを発行し、ログインを二重認証に変更します。これにより、IDとパスワードが盗まれたとしても、不正ログインを防げます。

トークンなどのハードウェアがなくとも、ワンタイムパスワードを発行できるサービスも増えているので、それほどユーザーに負担をかけることなく攻撃の防御が可能です。

以下の記事では、アカウントハッキング攻撃対策となるワンタイムパスワードについて解説しています。具体的な製品情報が知りたいという方は参考にしてください。

関連記事【2025年版】おすすめのワンタイムパスワード3選を比較！

リスト型攻撃の特徴と対策を知り攻撃を予防しよう！

リスト型アカウントハッキング攻撃の最大の防御対策は、ユーザーがパスワードの使い回しをしないことです。しかし、すべてのユーザーがそれをリスクであると考え、違うパスワードを登録するとは限りません。Webサービス提供事業者は、極力ユーザーに負担をかけることなくユーザーの安全を守るため、サービスの規模や予算に応じて上記の防御対策を検討ください。

なお、最新のワンタイムパスワード製品については、こちらから資料請求が可能です。興味のある方はぜひお申し込みください。

＼無料で一括資料請求！／

ワンタイムパスワードの製品をまとめて資料請求！

ワンタイムパスワード人気ランキング | 今週のランキング第1位は？

この記事を読んだ人は、こちらも参考にしています

話題のIT製品、実際どうなの？

導入ユーザーのリアルな体験談

IT製品を導入しDXに成功した企業に

直接インタビュー！

営業・マーケ・人事・バックオフィス

様々なカテゴリで絶賛公開中

動画一覧を見てみる

このコンテンツの執筆者

ITトレンド編集部

IT製品の比較サイト

プロジェクト管理勤怠管理・就業管理コラム

経歴・実績

ITトレンドはイノベーションが2007年より運営している法人向けIT製品の比較・資料請求サイトです。累計訪問者数2,000万人以上、3,750製品以上を掲載しています。ITトレンド編集部では、読者がIT製品・サービスを比較検討する際に役立つ情報や、システムを活用した社内の課題解決のヒントになる情報を記事にして日々発信しています。