H26 技術士(情報工学)情報ネットワーク II-1-3:パスワードリスト攻撃


(1)パスワードリスト攻撃とは
ITシステムの利用者の多くが、同じユーザーIDと同じパスワードを複数のサービスで使いまわしていることを利用し、入手したパスワードデータを用いていろいろなシステムへの侵入を試みる攻撃方法である。そのため、パスワードリスト攻撃の対策としてはユーザーID及びパスワードの使いまわしを避けることになる。
(2)パスワードリスト攻撃への対策
@サービス提供者
サービス提供者が行うこととしては、ユーザーIDとして利用者が指定したり、利用者のメールアドレスをユーザーIDとして使用するのではなく、システムがランダムにユーザーIDを割当てるようにすることである。こうすることで、同じユーザーが複数のITシステムで同じユーザーIDを使いまわすことができなくなるため、パスワードリスト攻撃の対策として有効である。
A利用者
利用者が行う対策としては、利用者がユーザーIDを指定するシステムですでに他のシステムで使用しているユーザーIDは使わないようにすることと、パスワードもシステムごとに別のものを使用し、使いまわさないようにすることが有効である。先に書いたようにシステムによってはユーザーIDとしてメールアドレスを使用するものがあるので、これらのシステムの利用を行うときはフリーのメールアドレスを新たに取得して使うくらいの慎重さが有効になってくる。


[Intermission]
すでに情報ネットワークでの受験は考えていませんが、記述問題の解答の練習として書いてみました。
この問題から考えると、情報セキュリティ関係の問題も情報ネットワークの範疇なのかなぁ…。世の中の流れからすると情報セキュリティという分野があってもいいような気がしますが…。



戻る 一覧へ