平成29年度 春期 ITパスポート試験 公開問題 問95 解説 パスワードリスト攻撃

パスワードリスト攻撃というキーワードを見たら、複数のWebサイトで同じ認証情報を使い回している状況を即座に連想してください。攻撃者はあるサイトから盗んだIDとパスワードのセットを使い、別のサイトでも同じ組み合わせが通用しないか自動的に試行します。したがって、パスワードを統一していることこそが被害の根本的な原因となります。

パスワードリスト攻撃の仕組み パスワードリスト攻撃とは、攻撃者が不正に入手したIDとパスワードのリストを悪用し、他のWebサイトへのログインを試みる攻撃手法です。多くの利用者は記憶しやすさから、複数のサービスでIDやパスワードを使い回す傾向があります。攻撃者はこの人間の心理を突き、ひとつのサイトから漏えいした情報を使って、SNS、ECサイト、銀行口座など、無関係な他のサービスへ侵入しようとします。

この攻撃を防ぐには、サービスごとに異なるパスワードを設定することが最も重要です。しかし、すべてのサービスで異なる複雑なパスワードを管理することは現実的には困難であるため、パスワード管理ツール（パスワードマネージャー）の利用が強く推奨されます。

試験における重要性と教育的意図 ITパスポート試験において、この問題は「情報セキュリティ」の分野で頻出です。この問題が意図しているのは、単なる知識の確認だけでなく、IT利用者としての適切なリテラシーを問うことです。

アの暗号化については、通信経路の盗聴を防ぐための技術ですが、今回の問題は「すでにIDとパスワードが流出している」という前提であるため、直接の被害原因ではありません。ウとエは、推測されやすいパスワード（辞書攻撃や総当たり攻撃に対する脆弱性）に関する問題であり、パスワードリスト攻撃の「リストを使って試行する」という性質とは焦点が異なります。

セキュリティの実務においては、パスワードの使い回しを避けることに加え、二要素認証（2FA）や二段階認証を併用することで、万が一パスワードが流出しても不正ログインを食い止める防衛策を講じることが重要です。試験学習を通じて、こうした多層的なセキュリティ意識を養うことが求められています。

総務省 国民のための情報セキュリティサイト IPA 独立行政法人情報処理推進機構 パスワードの管理について JPCERT/CC パスワードリスト攻撃による被害を防止するために