シングルサインオン製品導入GUIDE » ID管理・クラウドのセキュリティ対策コラム » パスワードリスト攻撃のリスクと対策

パスワードリスト攻撃のリスクと対策

公開日: |更新日:

インターネットの普及に伴い、さまざまなサービスやシステムへのアクセスが増加しています。それに伴い、セキュリティへの脅威も増加しています。

この記事では、脅威の一つである「パスワードリスト攻撃」について詳しく解説していきます。

パスワードリスト攻撃のリスクとは?

パスワードリスト攻撃は不正ログインの手法の一つで、攻撃者が取得したIDとパスワードのリストを使用してログインを試みるものです。

特定のサービスからのものでなくても、ユーザーが複数のサービスで同じログイン情報を使用している場合、攻撃が成功する可能性があります。

また、パスワードリスト攻撃を受けることで以下のようなリスクが考えられます。

アカウントの乗っ取り

パスワードリスト攻撃が成功した場合、直接的なリスクとしてユーザーのアカウントが乗っ取られる可能性があります。個人情報の漏洩や不正取引、第三者への迷惑行為などにつながります。

機密情報の漏洩

特に企業のシステムが狙われた場合、機密情報や顧客データが漏洩する危険性が高まります。企業の評価やブランドイメージが大きく損なわれるだけでなく、法的なトラブルにもつながりかねません。

二次的な攻撃の起点となる

一度アカウントを乗っ取られると、そのアカウントをもとにさらに多くのユーザーや組織への攻撃の起点として利用されることもあります。例えば、乗っ取られたメールアカウントからのフィッシングメールが送信されるなど、二次的な被害が広がる可能性も考えられます。

パスワードリスト攻撃とSSOの関係性

パスワードリスト攻撃は、複数のサービスで同じログイン情報の使い回しを狙った攻撃です。攻撃リスクを低減するための対策として、シングルサインオン(SSO)の導入が効果的です。

SSOは、一度の認証で複数のサービスにアクセスできるため、ユーザーは多くのパスワードを覚える必要がなく、管理も一元化されます。そのため、攻撃のリスクが大きく軽減されます。

パスワードリスト攻撃の対策方法

パスワードリスト攻撃の対策方法として、以下の3つが挙げられます。

パスワードの強化

パスワードリスト攻撃は、弱いパスワードや使い回しの情報を対象にしています。そのため、個別のサービス毎に複雑なパスワードを設定することが基本的な防御手段となります。

パスワードの変更頻度を高める

定期的にパスワードを変更することで、もし情報が漏洩していたとしても、攻撃者が使用する前に変更されている可能性が高まります。

SSOと多要素認証を組み合わせて活用する

シングルサインオン(SSO)の導入は、ユーザーが多数のパスワードを覚える必要がなくなるため、使い回しを防ぐ上で有効です。さらに多要素認証と組み合わせることで、セキュリティを一段と強化することができます。

セキュリティリスクへの対策はしっかり行おう!

インターネット環境下ではさまざまな脅威が存在します。パスワードリスト攻撃はリスクが高く、ユーザーや企業に深刻な被害を及ぼす可能性があります。本記事を参考に対策をしっかり講じて、安全なネット環境を整えましょう。

当サイトではID管理やクラウドセキュリティについて詳しく紹介しているため、以下の記事も参考にしてください。

ID管理・クラウドのセキュリティ対策コラム

Four Selections

無料トライアル×5,000種以上のアプリ・サービスに対応
シングルサインオン(SSO)
製品で比較

2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中から、それぞれ「オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業」「今回調査を行ったクラウドシステムの中で、自社システムの導入社数実績が最も多かった企業(※編集チーム調べ)」「無料プランがあり、既存環境の変更をせずに使用できる唯一の企業」をそれぞれ選出。対応アプリ数と導入・サポート、費用で比較しました。

※横スクロールします。

オンプレミス

AccessMatrix
USO

AccessMatrixUSO
クラウド

Okta

Okta
クラウド

トラスト・ログイン

トラスト・ログイン
対応アプリ・
サービス
全てのアプリ
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
7,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
5,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
導入・
サポート
  • SEによるSSOの環境を構築!初期費⽤無料!
  • SSO対象アプリの対応可否チェック
  • 日本語でのサポート体制
  • 初回トレーニングサポート付
  • アドレス登録で無料トライアル可能
  • 2020年9月日本法人設立、サポート体制を強化
  • マクニカネットワークス株式会社の場合、ユーザー専用のサポート閲覧サービスあり
  • オプションを除いた機能を無料でお試し可能
  • 全プラン(基本・プロ)にオペレーターサポート付き
  • 日本語でのサポート体制
料金
380円/ユーザー/月額
要問合せ
一般的な利用例は、月額2ドル~
330円/ID/月額

※選定条件:2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中で.、下記の条件に当てはまるものをピックアップ。

・AccessMatrix USO
オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業

・Okta
今回調査を行った会社の中で、シングルサインオンを含む自社提供サービスを導入している会社の数が18,000社とNo.1

参照元:https://www.okta.com/jp/products/single-sign-on/

・GMOトラスト・ログイン
無料プランがあり、既存環境の変更をせずに使用できる唯一の企業