メインコンテンツへ
セキュリティセキュリティ実践

パスワードリスト攻撃とブルートフォース攻撃の違いに関する記述として、最も適切なものはどれか。

ア.パスワードリスト攻撃は流出した認証情報を他のサービスに試す攻撃であり、ブルートフォース攻撃は文字の組み合わせを総当たりで試す攻撃である。正解
イ.ブルートフォース攻撃は事前に用意した辞書ファイルの単語を順番に試す攻撃であり、パスワードリスト攻撃より試行回数が少ない。
ウ.パスワードリスト攻撃は1つのサービスに対し1つのアカウントに大量のパスワードを試し続ける攻撃である。
エ.ブルートフォース攻撃の対策としてアカウントロックを設定しても、パスワードリスト攻撃には全く効果がない。

解説

パスワードリスト攻撃は「どこかから盗んだ合鍵を別の家で試す泥棒」。ブルートフォースは「1番から9999番まで全部試す金庫破り」。戦略がまったく異なります。

なぜ ア が正解か

アが正解。パスワードリスト攻撃(credential stuffing)は、他サービスから流出したID・パスワードの組み合わせをそのまま別サービスへ試す攻撃。多くのユーザーがパスワードを使い回すことを悪用する。ブルートフォース攻撃は「aaaa」「aaab」…と文字列を機械的に全組み合わせ試す総当たり攻撃。

なぜ イ は間違いか

ブルートフォース攻撃は辞書ファイルを使わず、全文字列を総当たりで試す。辞書の単語を試す攻撃は「辞書攻撃(dictionary attack)」と呼ばれる別の手法。試行回数はブルートフォースの方が圧倒的に多い。

なぜ ウ は間違いか

1つのアカウントに大量パスワードを試し続けるのはブルートフォース攻撃の特徴。パスワードリスト攻撃は「ID+パスワード」のペアが既知なので、各アカウントへの試行回数は少ない(1〜数回)。

なぜ エ は間違いか

アカウントロックはブルートフォース攻撃に有効だが、パスワードリスト攻撃にも一定の効果がある。リスト攻撃も各アカウントへの試行が増えるとロックされる。「全く効果がない」は誤り。

出典: AI生成問題(学習用)