リスト型攻撃（パスワードリスト攻撃）とは：防ぐ側が実装すべき対策と利用者教育

はじめに：2025年の最新被害状況

2025年8月28日、独立行政法人情報処理推進機構（IPA）は衝撃的な発表を行いました。 個人向けインターネットサービスへの不正ログイン相談が、2025年7月に月間144件で過去最多となったとのことです。 この数字は、パスワードセキュリティが単なる個人の問題ではなく、組織全体に影響する重大な脅威であることを示しています。 本記事では、リスト型攻撃（パスワードリスト攻撃）の仕組み、現状の脅威、そして防御側が実装すべき対策について、詳しく解説します。

⇒【ロリポップ！固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料！

リスト型攻撃（パスワードリスト攻撃）とは：基本概念

定義と概要

リスト型攻撃（別名：パスワードリスト攻撃）とは、他社のシステムから過去に流出したIDとパスワードの組み合わせを利用して、複数の異なるサービスに対して次々と不正ログインを試みる攻撃方法です。 英語ではCredential Stuffingと呼ばれます。

攻撃の流れ

攻撃者の典型的な行動パターンは以下の通りです。

• 第1段階：リストの入手：ダークウェブなどで流出したID・パスワードリストを購入または入手します。
• 第2段階：自動化ツールの準備：ボットツールを使用して、大量のログイン試行を自動化します。
• 第3段階：複数サービスへの攻撃：同じID・パスワードで、Twitter、Instagram、Gmail、銀行サービス、企業内システムなど、様々なサービスへのログインを試みます。
• 第4段階：成功の確認と悪用：アカウントへのアクセスに成功したら、機密情報盗難、不正送金、スパム発信などの犯罪に利用します。

パスワード使い回しの実態：日本は世界平均を上回る危機的状況

日本のパスワード使い回し率は71%

調査結果によると、日本国内のパスワード使い回し率は71%に達しています。 これは世界平均の約60%と比べて、10ポイント以上高い水準です。 さらに詳しく見ると、「少数のパスワードを使い回している」と回答した消費者は日本で58%を占め、世界平均の51%より高くなっています。

なぜパスワード使い回しは起きるのか

従業員や消費者がパスワードを使い回す理由は、シンプルです。

• 複数のサービス利用: 仕事、プライベート合わせて数十のサービスを使用している。
• 記憶の負担: 複数の強力なパスワードを記憶することは現実的に困難。
• セキュリティ意識の不足: パスワード使い回しのリスクを理解していない層も存在。
• 管理ツールの未導入: パスワード管理ツール（パスワードマネージャー）を導入していない企業や個人が多い。

リスト型攻撃が成功する理由：3つの要因

1. 人間の習性に基づくパスワード使い回し

人間は認知負荷を避けるため、パスワードを再利用します。 一度決めたパスワードが「十分に強力」と判断されると、その後も同じものを使い回す傾向が強いのです。

2. 自動化ツールの低コスト化

現在、攻撃者が利用できる自動化ツールやボット、リストは、ダークウェブで非常に安価に入手できます。 このため、個人の詐欺師から組織的な犯罪集団まで、様々なレベルの攻撃者がこの手法を利用できるようになったのです。

3. IP制限やセキュリティチェック機能の不足

多くのオンラインサービスは、複数の失敗したログイン試行に対して十分な防衛機構を持っていません。 つまり、攻撃者は回数制限に引っかかることなく、大量のログイン試行を続けられるのです。

リスト型攻撃による実際の被害事例

事例1：金融機関での不正送金

2025年上半期、ある地方銀行で、リスト型攻撃によって複数の顧客アカウントが不正アクセスされ、総額約2,000万円の不正送金被害が発生しました。 攻撃者は盗んだパスワードで顧客アカウントにログインし、外部の口座に送金を実行していたのです。

事例2：クラウドサービスでの情報漏洩

大手クラウドストレージサービスで、複数ユーザーのアカウントが侵害され、保管されていた顧客情報が流出しました。 攻撃者は侵害したアカウントの情報を第三者に販売していたと考えられています。

事例3：企業システムへの侵入

製造業の大手企業では、パスワードリスト攻撃により従業員のVPNアカウントが侵害されました。 その結果、重要な設計図がランサムウェア攻撃の脅威にさらされたとのことです。

防ぐ側が実装すべき対策：3つのレイヤー

レイヤー1：運営側（サービス提供者）が実施すべき対策

1-1. ログイン試行回数の厳密な制限

最も基本的かつ効果的な対策は、一定時間内のログイン失敗回数を制限することです。

• 実装方法: 同一IPアドレスまたは同一ユーザーIDから、5回の失敗後に30分間ログインを禁止する、などのルール設定。
• 効果: 大量の自動化ログイン試行を事前に遮断できます。
• 留意点: 正規ユーザーが誤ってパスワードを入力した場合の対応を想定する必要があります。

1-2. 異常検知機能の導入

新しいデバイスや異常な場所からのログインを検知し、ユーザーに通知する仕組みです。

• 実装方法: IPアドレス、デバイス情報、ブラウザ情報などの傍観的な特徴をデータベースに記録し、通常と異なるログインを検知。
• 効果: ユーザーが不正なアクセスに早期に気付くことができます。
• 例: 「いつもと異なる場所からのログインが試みられています。心当たりがあれば『はい』を、ない場合は『いいえ』をクリック」という通知。

1-3. WAF（Web Application Firewall）の活用

WAFは、web アプリケーションへの攻撃を検知・遮断する防壁です。

• 実装方法: パターンマッチングやレート制限により、自動化ツールによるログイン試行を検知。
• 効果: ボット攻撃を大幅に削減できます。

1-4. CAPTCHAまたはチャレンジ・レスポンス認証

ボットと人間を区別する仕組みです。

• 実装方法: 複数回のログイン失敗後に、パズルや画像認識タスクを提示。
• 効果: 全自動化された攻撃を防止できます。
• 留意点: ユーザビリティに悪影響を与えないバランスが重要です。

1-5. パスワード平文保存の廃止とハッシュ化の強化

これは極めて重要です：万が一データベースが侵害されても、パスワードそのものが盗まれないようにしなければなりません。

• 実装方法: 業界標準のハッシュ関数（bcrypt、Argon2など）を使用し、パスワードを一方向関数で暗号化。
• 効果: 仮にデータベースが流出しても、パスワードを復元されません。
• 参考: 大手サービスでもハッシュ化不十分なまま流出されたケースが過去にあります。

レイヤー2：利用者教育と啓発

2-1. パスワードの再利用防止教育

組織内で徹底すべき原則は「1つのサービス、1つの異なるパスワード」です。

• 実施方法: 定期的なセキュリティ教育、イントラネットでの啓発。
• メッセージ例: 「複数のサイトで同じパスワードを使用すると、1つが破られた時点で全てのサービスが危険にさらされます」

2-2. 強力なパスワード作成ガイドラインの周知

パスワードは複雑であるほど、辞書攻撃や総当たり攻撃に強くなります。

• 推奨基準: 8文字以上で、大文字・小文字・数字・特殊記号を混在させる。
• 例: Tr0p!cal$unset2024 のような形式。
• 注意: ユーザーが複雑さのあまりパスワードを手書きしてしまう場合があるため、パスワード管理ツールの利用を同時に推奨する必要があります。

2-3. 予期しない認証リクエストへの対応教育

従業員が不意に届く認証通知について、どう対応すべきかを教育します。

• 教育内容: 「心当たりのない認証リクエストは絶対に承認しないこと」「即座にIT部門に報告すること」。
• 具体例: 「仕事中に、突然スマートフォンにMFA通知が来たら、それは誰かがあなたのパスワードで侵入しようとしている可能性があります」

レイヤー3：最新技術による根本的な対策

3-1. FIDO2/WebAuthnに基づいた生体認証やセキュリティキーの導入

最も堅牢な対策は、パスワード認証そのものを廃止することです。

• FIDO2とは: Fast IDentity Online 2の略で、国際標準規格として認定されたパスワードレス認証規格。

• 実装形態:

• 生体認証: 指紋認証、顔認証など。

• セキュリティキー: USB接続またはNFC対応の物理キー。

• 効果: パスワードリスト攻撃は、定義上、まったく効果がなくなります。

• 導入状況: GoogleやMicrosoftなどの大手テック企業は、セキュリティキー無配置の従業員によるパスワードリスト攻撃被害がゼロになったと報告しています。

3-2. Zero Trust（ゼロトラスト）セキュリティアーキテクチャ

企業全体のセキュリティを抜本的に見直す戦略です。

• 基本原則: 「すべてを信頼しない」。パスワード認証に成功しても、それだけでは十分ではなく、追加の要素でアクセスを検証。
• 実装例: 固定IPアドレスの制限、デバイスの認証情報の検証、リアルタイムの異常検知。

例えば、ロリポップ！固定IPアクセスのようなVPNサービスを利用して、企業システムへのアクセスを特定のIPアドレスからのみに限定することで、仮にパスワードが盗まれても、指定された場所からのアクセス以外は遮断されます。

段階的な対策実装ロードマップ

短期対策（1～3か月）

• ログイン試行回数制限の導入
• 異常検知通知機能の実装
• 従業員向けセキュリティ教育の実施

中期対策（3～6か月）

• パスワード管理ツール（1Passwordなど）の導入・運用
• WAFの導入
• パスワードハッシュ化の確認・強化

長期対策（6～12か月）

• FIDO2/WebAuthn対応の検討
• Zero Trustアーキテクチャの設計・実装
• 継続的なセキュリティ監査と改善

固定IPで安全なアクセス環境を実現するなら「ロリポップ！固定IPアクセス」

ロリポップ！固定IPアクセスは、今お使いのインターネット回線をそのまま活かして固定IPアドレスを利用できるVPNサービスです。 月額539円（税込）から、初期費用0円・最大2ヵ月無料で始められます。 WireGuardによる高速接続で、VPN特有の速度低下も気になりません。

リスト型攻撃対策として、企業システムへのアクセスを固定IPアドレスに限定することで、パスワードが盗まれた場合でも指定外のIPアドレスからのアクセスを自動的に遮断できます。 IP制限をかけたい社内システムやクラウドサービスへのアクセス管理にぴったりです。 プロバイダの乗り換えも不要で、申し込んだその日から利用できます。

→ ロリポップ！固定IPアクセスの詳細はこちら

まとめ：個人と組織の両立が不可欠

リスト型攻撃は、個人のセキュリティ意識だけでは防げません。 サービス提供者による技術的対策と、利用者側の教育が組み合わさってこそ、初めて効果的な防御が実現できるのです。

2025年の不正ログイン相談最多の状況を受けて、多くの企業が対策を急ぎ始めています。 貴社でもレイヤー1（運営側の対策）、レイヤー2（利用者教育）、レイヤー3（最新技術）の3つをバランスよく実装していただきたいと思います。 セキュリティは継続的な取り組みです。 今のうちに対策を強化することで、将来の被害を防ぐことができるのです。