基本情報 平成28年度 春期 問44：テクノロジ系に関する問題

答えは a「パスワードリスト攻撃」 です。

これは「サイトAから漏れたIDとパスワード一覧を、サイトB・サイトC…で片っ端から試す」攻撃。

多くの人が「楽だから」と同じパスワードを使い回しているのが原因で成功してしまいます。

👉 覚え方：「漏れたリストを使い回し先に流用」＝パスワードリスト攻撃。

ほかの選択肢：b ブルートフォース＝1IDに対し総当たり／c リバースブルートフォース＝1パスワードに対し色々なIDを試す／d レインボー＝ハッシュ値の逆引きテーブル攻撃。「使い回し」がキーワードなら必ずa。

なぜこれが正解か

正解は a。パスワードリスト攻撃（credential stuffing）は、他サービスから流出したID/パスワード組を別サービスで自動的に試行する攻撃。利用者がパスワードを使い回している場合に高確率で不正ログインが成立する。問題文「別サービスから流出した認証情報」「使い回し」のキーワードがそのまま定義に対応。

各選択肢の解説

• a パスワードリスト攻撃：正解。流出済リスト前提。
• b ブルートフォース攻撃：特定IDに対しパスワードを総当たり。リスト不要。
• c リバースブルートフォース：パスワードを固定し、IDを総当たり。「password123」等の弱パスワードで多数アカウントを狙う。
• d レインボー攻撃：ハッシュ値から元パスワードを高速逆引きする事前計算テーブル攻撃。

覚え方・ひっかけ注意

「使い回し→リスト型／総当たり→ブルートフォース／パスワード固定で多ID試行→リバース／ハッシュ逆引き→レインボー」で識別。対策はサービス毎にパスワードを変える／多要素認証（MFA）／パスワードマネージャ利用／流出情報モニタリング（HaveIBeenPwned等）。MFAがあればリスト攻撃でもログイン阻止可能。

理論的背景

パスワードリスト攻撃（credential stuffing）は2010年代以降に急増した攻撃形態。背景にはRockYou・LinkedIn・Yahoo等の大規模漏洩で数十億件の認証情報がダークウェブに流通したこと、ボットネットで大量試行が低コスト化したことがある。OWASP Top 10でも常連の脅威。

実務での使われ方

対策は多層防御で構成：

• MFA（多要素認証）：TOTP・WebAuthn・SMS（弱い）。最も効果的。
• CAPTCHA／reCAPTCHA：ボット自動化を阻害
• レート制限／IPブロック：短時間多数試行を遮断
• デバイスフィンガープリント：未知デバイスからのログインを追加認証要求
• 異常検知（UEBA）：通常と異なる地理・時間・デバイスからのアクセス検知
• パスワードレス（FIDO2／Passkey）：根本対策。フィッシング耐性も持つ

大規模サービスではAkamai Bot Manager・Cloudflare Turnstile・PerimeterX等のボット対策製品で防御。

試験での位置づけ

セキュリティ分野の最頻出テーマの一つ。基本情報では攻撃名識別、応用情報・情報処理安全確保支援士では攻撃メカニズム・対策技術・FIDO2/WebAuthn・OAuth2/OIDCまで踏み込む。NIST SP 800-63Bのパスワードポリシー（定期変更不要、辞書攻撃対策必須）も近年の論点。

選択肢の発展補足

認証攻撃の系譜：

• 辞書攻撃：単語リストベースの効率的総当たり
• ハイブリッド攻撃：辞書＋数字付与のバリエーション
• クレデンシャルスタッフィング：リスト攻撃の英語名
• アカウントテイクオーバー（ATO）：成功後の乗っ取り全般
• MFA Fatigue：認証通知を連発して誤承認を誘発する2022年以降の新手法

防御技術ではPasskey（パスワードレス）がGAFAM・1Passwordで実装急進行。ZeroTrustの文脈では「常に検証」原則でリスクベース認証が標準化。試験対策では4攻撃の識別を起点に、現代認証アーキテクチャへの展開知識を持つと応用情報・支援士で有利。