>
>
最終更新日
近年、ウェブサービスや社内システムでの不正ログイン被害の主な原因として、パスワードリスト攻撃が急増しています。
パスワードリスト攻撃とは、他の場所で漏洩したIDとパスワードのリストを悪用し、別のサービスへのログインを試みるサイバー攻撃です。警察庁の最新統計によれば不正アクセス行為の大半がこの手口に起因しており、攻撃の仕組みが巧妙なため、従来のアカウントロック機能だけでは防ぐことが難しく、企業に甚大な損害を与えています。
この記事では、パスワードリスト攻撃の具体的な仕組みから、ブルートフォース攻撃との違い、最新の被害事例、そして企業と個人が実行すべき具体的な対策一覧まで詳しく解説します。
📋 この記事でわかること
パスワードリスト攻撃の仕組みとブルートフォース攻撃との違い
2024〜2025年の国内被害事例と数億円規模の復旧コスト
企業・個人がすぐ実践できる多要素認証(MFA)などの対策一覧
アカウントロックが効かない技術的な理由
パスワードリスト攻撃とは
被害を防ぐには、企業側でMFA(多要素認証)を必須化することが最も重要である。
アカウントロック機能だけでは、分散型のパスワードリスト攻撃を防ぎきれない。
サイバー攻撃によるデータ侵害の平均復旧コストは数億円規模に達する。
ランサムウェアの足場として、社内VPNやクラウドの認証情報が狙われている。
パスワードリスト攻撃とは、あらかじめ不正に入手したIDとパスワードのリストを用いて、特定のシステムへログインを試行するサイバー攻撃です。
そもそもパスワードリストとは
パスワードリストとは、過去のサイバー攻撃によって漏洩したIDとパスワードの組み合わせを一覧にしたデータです。
このリストはダークウェブなどの非合法な市場で売買されており、攻撃者はこれを入手して別のECサイトや金融機関、社内システムへのログインを自動化ツールで試みます。パスワードを複数のサービスで使い回している利用者が多いため、攻撃者は高い確率で不正アクセスに成功してしまいます。
ブルートフォース攻撃との違い
パスワードリスト攻撃は既存の正しいリストを用いて効率よく攻撃する手口であり、あらゆる文字の組み合わせを試すブルートフォース攻撃とは仕組みが明確に異なります。
比較項目 | パスワードリスト攻撃 | ブルートフォース攻撃(総当たり攻撃) |
|---|---|---|
攻撃の仕組み | すでに漏洩したID・パスワードの「リスト」を利用する | 特定のIDに対し、考えられる全ての文字列を手当たり次第に試す |
1アカウントあたりの試行回数 | 1〜数回(非常に少ない) | 数千〜数百万回(非常に多い) |
攻撃の成功率 | 高い(使い回しが多いため) | 低い(複雑なパスワードには膨大な時間がかかる) |
アカウントロック機能の有効性 | 無効(数回の失敗で済むためロックに引っかからない) | 有効(連続失敗でロックをかけやすい) |
リスト攻撃はシステム側の防壁を掻い潜りやすいため、ブルートフォース攻撃よりも防御が難しく、短時間で実害が発生しやすいのが特徴です。
▲ パスワードリスト攻撃の仕組みと流れ
最新の被害事例と復旧コスト
パスワードリスト攻撃によるデータ侵害は企業に数億円の損害をもたらし、深刻な経営リスクとなります。
2024-2025年の国内被害事例
国内の大手企業でも、MFA(多要素認証)の未設定が原因で大規模な不正ログイン被害が相次いで発生しています。
2024年8月、LINEヤフー株式会社では「LINEビジネスID」へのパスワードリスト攻撃により、複数アカウントが乗っ取られる事案が発生しました(LYCorp公式発表)。被害に遭ったアカウントはすべて2段階認証が無効になっており、認証強化の重要性を裏付ける結果となりました。また、2025年6月にはアパレル大手の株式会社パルが運営する通販サイトに172万回(1,722,379件)ものログイン試行があり、約19万件(194,307件)のアカウントで不正ログインが成功して個人情報が閲覧される事態が公表されています(株式会社パル公式発表)。
データ侵害の復旧コストと事業への影響
サイバー攻撃によるデータ侵害の世界平均コストは約7.3億円に達しており、国内企業の平均総復旧コストも2.3億円という甚大な額になります。
IBMの「2024年データ侵害のコストに関する調査レポート」によると、データ侵害による世界平均コストは488万ドル(約7億3,200万円)と過去最高を記録しました(IBM Cost of a Data Breach Report 2024)。国内のECサイトが被害に遭った推計でも、フォレンジック調査費用、システム再構築費用、事業中断による機会損失を含めると平均2.3億円の復旧コストがかかるとされています(IPA(情報処理推進機構)および国内セキュリティ専門機関の複数調査レポートによる推計値)。また、一度失墜した信用による取引解除など、目に見えない長期的なビジネスダメージも深刻です。
パスワードリスト攻撃に該当するもの
攻撃対象は一般向けのWebサービスにとどまらず、社内VPNやクラウドなど企業の業務システム全体に及びます。
一般ユーザーを狙った手口としては、ECサイトでのクレジットカード不正利用、ネットバンキングでの不正送金、SNSアカウントの乗っ取りによるフィッシング詐欺などが該当します。警察庁の2025年統計では、証券会社のインターネット取引サービスにおける不正取引が前年の約2件から1,400件超へと急増していることが報告されています(警察庁公表資料参照)。
さらに近年危険視されているのが、企業のVPN機器やリモートデスクトップ(RDP)を標的とした攻撃です。ここで認証を突破されると社内ネットワークへ侵入され、ランサムウェアを用いた二重脅迫や、機密情報の漏えいを引き起こす「サプライチェーン攻撃」の足場として悪用されます。
パスワードリスト攻撃を防ぐのが難しい理由
攻撃の成功率が高い背景には、従来のアカウントロック機能が効かない技術的理由と、利用者のパスワード使い回しという根本的な課題があります。
従来のアカウントロック機能では検知が難しい
攻撃者は特定のIDに対するログイン試行回数を意図的に分散させるため、一定回数の失敗で発動するアカウントロック機能は通用しません。
「5回連続でログインに失敗したらアカウントをロックする」といった対策は、特定のIDを集中的に狙うブルートフォース攻撃には有効です。しかし、パスワードリスト攻撃では「1つのIDにつき1〜2回だけ試して、すぐ次のIDに移る」という分散型の手口を取ります。正規の認証情報を使用しているためシステム側からは通常のログインと区別がつかず、単純なアクセス制限では根本的な解決になりません。
利用者のパスワード使い回し
利便性を優先した利用者のパスワード使い回しが、パスワードリスト攻撃を成立させる最大の要因です。
どれか1つのサービスからIDとパスワードが漏洩すると、攻撃者はその情報を他の無数のサービスでも試行します。同一の認証情報を使い回している限り、連鎖的に複数のアカウントが乗っ取られてしまいます。この利用者の習慣を悪用しているからこそ、企業側のシステムだけで完全に防御することが困難なのです。
▲ パスワードリスト攻撃とブルートフォース攻撃の比較
パスワードリスト攻撃の対策一覧
被害を防ぐためには、サービス提供者(企業側)と利用者(個人側)の役割を明確に分けた多層的な防御が必要です。
サービス提供者(企業側)の対策
企業はパスワードのみの認証から脱却し、多要素認証(MFA)の必須化とAIによる異常検知システムを導入する必要があります。
多要素認証(MFA)の必須化:ID・パスワードという「知識情報」に加え、スマートフォンへのSMS認証など「所持情報」を組み合わせます。MFAを必須化すれば、パスワードが漏洩しても不正ログインを阻止できます。
AIと自動化による異常検知:AIを活用して「普段と異なる国やIPアドレスからのアクセス」「不自然な時間帯のログイン」を瞬時に検知し、一時的に追加認証を求める仕組みが有効です。IBMの調査では、AIと自動化を活用した企業はそうでない企業に比べ、データ侵害コストを平均約220万ドル削減できると報告されています。
WAF(Web Application Firewall)の導入:短時間に大量のIPアドレスを切り替えながら行われる不審なアクセス要求をネットワークの入り口で遮断します。
利用者(個人側)の対策
個人はパスワードの使い回しを完全に止め、パスワード管理ツールを活用してサービスごとに複雑な文字列を設定しましょう。
パスワードの使い回しをしない:1つのサービスにつき1つの固有パスワードを設定することが大原則です。
パスワード管理ツールの利用:多数のパスワードを人間が記憶するのは不可能です。パスワード管理ツールを利用すれば、強固なパスワードの自動生成と安全な保管が実現できます。
MFAの積極的な有効化:サービス側で2段階認証やMFAが提供されている場合は、必ず設定を「オン」にしてください。
今すぐ使える多要素認証・パスワード管理チェックリスト
自社や自身のセキュリティ設定状況を以下のチェックリストで即座に見直し、脆弱性を潰しましょう。
【企業向け】全従業員の社内システム・クラウド・VPNへのアクセスにMFAを強制適用しているか。
【企業向け】自社の提供する顧客向けサービスにおいて、パスワードのハッシュ化保管とMFAオプションを提供しているか。
【個人向け】プライベートおよび業務で使用するすべてのアカウントでパスワードを使い回していないか。
【個人向け】ブラウザの記憶機能ではなく、セキュアなパスワード管理ツールを利用しているか。
▲ 企業と個人が実施すべき多層防御システムの全体像
よくある質問
Q:パスワードを複雑にすれば防げますか?
A:防げません。パスワードリスト攻撃は「すでに漏洩した正しいパスワード」を使用するため、どれほど長くて複雑な文字列を設定していても、使い回しをしていれば突破されてしまいます。サービスごとに異なるパスワードを設定することが重要です。
Q:アカウントロック機能があれば安全ですか?
A:安全とは言えません。攻撃者は1つのアカウントに対する試行回数を1〜2回に抑え、アカウントがロックされる前に次のアカウントへの攻撃に切り替える「分散型」の手口を使うため、従来のアカウントロック機能はすり抜けられてしまいます。
Q:なぜパスワードリスト攻撃の被害額は高額になるのですか?
A:単なる不正ログインにとどまらず、そこから社内ネットワークへの侵入(VPN突破など)を許し、最終的にランサムウェアによるデータ暗号化や顧客情報の大量流出に繋がるためです。システムの再構築費用やフォレンジック調査に数億円単位のコストが発生します。
まとめ
この記事では、パスワードリスト攻撃の仕組み、深刻化する被害事例、そして企業と個人が講じるべき具体的な対策について解説しました。この攻撃は漏洩した正規の情報を悪用するため、アカウントロックなどの古い対策では防ぎきれません。
サイバー攻撃による被害を未然に防ぐための第一歩として、まずは自社の業務システムやクラウドサービスにおいて「多要素認証(MFA)が必須化されているか」を明日すぐに確認しましょう。企業と個人がそれぞれの立場でセキュリティ意識をアップデートし、適切なツールを活用することが大切な情報資産を守る鍵となります。
✅ 今日からできるアクションチェックリスト
✅ 社内システム・クラウド・VPNへのMFAを全従業員に強制適用する
✅ 自社サービスの顧客向けMFAオプションとパスワードのハッシュ化を確認する
✅ 個人の全アカウントでパスワードの使い回しをやめ、サービスごとに異なる文字列を設定する
✅ ブラウザ保存ではなくセキュアなパスワード管理ツールに切り替える
✅ 提供・利用中の全サービスで2段階認証(MFA)を有効化する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
