セキュリティ
パスワードリスト攻撃とブルートフォース攻撃の違いに関する記述として、最も適切なものはどれか。
ア.パスワードリスト攻撃は流出した認証情報を他のサービスに試す攻撃であり、ブルートフォース攻撃は文字の組み合わせを総当たりで試す攻撃である。正解
イ.ブルートフォース攻撃は事前に用意した辞書ファイルの単語を順番に試す攻撃であり、パスワードリスト攻撃より試行回数が少ない。
ウ.パスワードリスト攻撃は1つのサービスに対し1つのアカウントに大量のパスワードを試し続ける攻撃である。
エ.ブルートフォース攻撃の対策としてアカウントロックを設定しても、パスワードリスト攻撃には全く効果がない。
解説
パスワードリスト攻撃は「どこかから盗んだ合鍵を別の家で試す泥棒」。ブルートフォースは「1番から9999番まで全部試す金庫破り」。戦略がまったく異なります。
なぜ ア が正解か
アが正解。パスワードリスト攻撃(credential stuffing)は、他サービスから流出したID・パスワードの組み合わせをそのまま別サービスへ試す攻撃。多くのユーザーがパスワードを使い回すことを悪用する。ブルートフォース攻撃は「aaaa」「aaab」…と文字列を機械的に全組み合わせ試す総当たり攻撃。
出典: AI生成問題(学習用)