パスワードリスト型攻撃(リスト攻撃)は、名前の通りパスワードのリストを使ってアカウントへの不正ログインを試みる攻撃だ。リストは通常、IDとパスワードがセットになっている。リストは、攻撃者が不正アクセスなどによってサーバーから盗みだすこともあれば、フィッシングサイトを利用して集めることもある。アンダーグラウンドマーケットで販売されているパスワードリストを購入するケースもある。
調達サイト、モールの店舗向けページが狙われる
リスト攻撃に利用するパスワードリストは、ターゲットとするサイトのものでなくても、IDやパスワードを使いまわしていればヒット(ログイン成功)することもあるし、ありがちなパスワードが一致することもある。
このような攻撃は、多数の一般ユーザーを抱えたソーシャルネットワークサービスやECサイトに対して行われることが多い。しかし、業界向けのマッチングサイトや調達サイトもターゲットとして狙われているので、油断は禁物だ。実は、BtoBサービスは、業務用機器、中古車など取引単価が高い製品を扱うので、詐欺犯や犯罪者にとっては恰好の標的だ。会員は中小企業だしユーザー数はそれほど多くないから、と安心してはいけない。
調達サイトは、事業者向けのECサイトだ。リアル犯罪と同様に、ネット上の取り込み詐欺などが発生する。例えば中古車の取引サイト、原材料の取引サイトに、会員ユーザーとしてログインできれば偽の注文が可能だ。このような不正ログインに、リスト攻撃が使われる場合がある。
なお、標的型攻撃では、最終的なターゲットに行きつくため、攻撃者は業界内の情報や取引先の情報を事前に集める必要がある。その過程で、中小企業が攻撃されることも珍しくない。
ECサイトやショッピングモールサイトに出店している企業や店舗も、注意が必要だ。これらのサイトは、出店者向けの管理システムが用意されているはずだ。出店者のアカウントでログインして、キャンペーンを告知したり、商品情報を編集したりできる。このような事業者向けのログイン画面も、リスト攻撃を受けている。
大手サービスは専用攻撃ツールも存在する
アンダーグラウンドマーケットでは、パスワードリストだけでなく、パスワードリストを利用した専用の攻撃ツールも流通している。会員数が多い巨大ECサイトになると、専用の攻撃ツールも存在している。