近年ログイン機能を持つWebアプリケーションの被害が増えいる。今回はその中でパスワードリスト攻撃について説明していきます。

パスワードリスト攻撃とはパスワードに使われそうな文字列が書いてあるリストを使って様々な文字列を組み合わせ、それを総当たりしてログイン認証を突破するという攻撃です。これは総当たり攻撃（Brute force攻撃)の一種である。この攻撃は一般的にはファイヤーウォールなどでは検知できません。なぜならWebページへのアクセスの際に不正な点がないためです。このようなことも被害増加の原因となっています。

この攻撃手法の対策として、運用側では同一のアクセスもとからの複数IDへのログイン試行や一定回数以上のログイン失敗の発生、全体での一定回数以上のログイン失敗発生を検知することが挙げられる。これらはWAF(Web Application Firewall)を導入することでも実現できます。またユーザ側では複数のオンラインサイトで同じパスワードを使い回さないこと、定期的にパスワードを変更すことなどが求められている。