令和4年度 ITパスポート試験 公開問題 問95 解説 パスワードリスト攻撃

この問題は「他のサイトから盗んだ情報を使って、別のサイトにログインしようとする」という動作のキーワードを探す問題です。ポイントは、攻撃者が情報を自分自身で盗んだわけではなく、既にどこかから漏洩したリストを悪用している点です。この特徴を見抜ければ、パスワードリスト攻撃という言葉が直結します。

パスワードリスト攻撃とは、あるウェブサイトから不正に入手したIDとパスワードのリストを使い、別のウェブサイトでログインを試みる手法です。多くのユーザーが複数のサービスで同じIDとパスワードを使い回しているという人間の習慣を悪用しています。もし、ある一つのサービスが攻撃を受けて情報が漏洩すると、それが原因で無関係な別のサービスまで被害に遭う可能性があるため、非常に危険な攻撃です。

他の選択肢について、なぜ誤りなのかを整理します。

DoS攻撃は、ウェブサイトやサーバーに対して大量のデータを送りつけ、サービスを過負荷にしてダウンさせる手法です。認証情報を盗むこととは無関係です。

SQLインジェクションは、ウェブサイトの入力フォームなどに悪意のある命令文を紛れ込ませることで、データベースを不正に操作する手法です。これにより、データベース内の情報を引き出されることがありますが、その結果として「流出したリスト」が作られることはあっても、リストを使って他サイトにログインする手法そのものはパスワードリスト攻撃と呼びます。

フィッシングは、偽のウェブサイトへ誘導したり、偽のメールを送ったりして、ユーザー自身にIDやパスワードを入力させて盗み出す手法です。これは情報の収集方法に関する攻撃であり、収集したリストを流用するパスワードリスト攻撃とはフェーズが異なります。

試験対策としては、攻撃の目的が「サービスを止めること」なのか「不正ログインすること」なのか、あるいは情報の入手元が「ユーザーの操作を介しているか（フィッシング）」、「既に流出したリストを使っているか（パスワードリスト攻撃）」という違いを意識すると、選択肢を絞り込みやすくなります。

• JPCERT コーディネーションセンター：パスワードリスト攻撃に関する解説記事