ITパスポート 2017年 (平成29年 春期) 問95「あるWebサイトからIDとパスワードが漏えいし,そのWebサイトの利用者が別のW…」の正解と解説です。ITパスポート試験の「テクノロジ系」分野の過去問で、これまでの受験者の正答率は約56%です。
イ. 同じIDと同じパスワードを設定していた。
正答率 56.2%(918人中 516人が正解)
パスワードリスト攻撃(Password List Attack、リスト型攻撃)は、他のウェブサービスや企業から流出したID・パスワードの組合せのリストを使い、別のサービスに同じ認証情報でログインを試みる攻撃手法である。複数サービスで同じIDとパスワードを使い回しているユーザは、一つのサービスで情報が漏えいすると他サービスも芋づる式に被害を受ける。この問題の被害原因は「同じIDと同じパスワードを複数サービスで使い回していたこと」であり、サービスごとに異なるパスワードを設定することが根本的対策となる。パスワードの短さや文字種の少なさはブルートフォース攻撃への脆弱性であり、リスト攻撃とは異なる問題である。