他社のWebサービスなどから流出したアカウント(ユーザーIDとパスワード)のリスト使って、別のWebサービスに対して不正ログインを試みるサイバー攻撃のこと。不正ログインされると、ユーザーのアカウントを攻撃者に乗っ取られ、なりすまされたり、個人情報を盗まれたりする。
リスト型アカウントハッキングは、「リスト型攻撃」「リスト攻撃」「パスワードリスト攻撃」「アカウントリスト攻撃」などとも呼ばれる。2013年末ごろから、総務省が発表資料などでリスト型アカウントハッキングという名称を使っているため、Webサービス提供者なども、この名称を使うようになっている。
リスト型アカウントハッキングでは、特定のIPアドレスから、数万回から数百万回にわたって不正なログインが試行される。ただ、一つのIDに対するログイン試行は1~2回であることがほとんどなので、正規ユーザーのログイン試行と区別することが難しい。このため、Webサービス提供者側ではリスト型アカウントハッキングを防ぎきれないのが現状だ。
リスト型アカウントハッキングを防ぐには、ユーザー側の心構えが重要になる。リスト型アカウントハッキングで不正ログインされるのは、ユーザーIDとパスワードを使い回しているユーザーに限られる。WebサービスごとにユーザーIDとパスワードを使い分けていれば、不正にログインされることはない。
今後もリスト型アカウントハッキングは続くとみられる。ユーザーとしては、パスワードの使い回しをやめることが何よりも重要である。
