コンボリスト|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. コンボリスト
             

コンボリスト

コンボリスト(Combo List)とは、インターネット上で流出したユーザー名やメールアドレスとパスワードの組み合わせが一覧化されたリストのことを指します。これらのリストは主に、データ漏洩フィッシングマルウェアなどの攻撃で収集されたログイン情報から生成され、悪意ある攻撃者によって利用されます。

コンボリストは、一般的にクレデンシャルスタッフィング攻撃に使用され、他のWebサイトやサービスで同一のログイン情報が使用されている可能性を狙ってログインを試みます。攻撃者は、自動ツールを使ってリスト内の組み合わせを大量に試すことで、不正アクセスを容易に成功させます。こうした不正アクセスは、特にパスワードの使い回しが行われている場合に大きなリスクとなります。

コンボリストの仕組みと利用方法

コンボリストの内容は、主に以下の手順で収集され、悪用されます:

  1. 情報の収集
    コンボリストの元となる情報は、ハッキングや情報漏洩事件、フィッシング攻撃、マルウェア感染によって収集されます。漏洩した認証情報がダークウェブやハッキングフォーラムで共有・販売されることで、リストが生成されます。
  2. リストの生成と公開
    攻撃者は流出したアカウント情報を集め、ユーザー名(またはメールアドレス)とパスワードの組み合わせを1行ずつ記載したテキスト形式でリスト化します。このリストは、ファイル共有サイトやダークウェブ、攻撃者のコミュニティ内で売買されることもあります。
  3. クレデンシャルスタッフィング攻撃に利用
    攻撃者は、自動ツールを使用してコンボリスト内のアカウント情報を次々と試し、複数のサービスやWebサイトに対してログインを試みます。特に、同一のパスワードが他のサービスでも使用されている場合、アカウント乗っ取りが簡単に成功してしまいます。
  4. 成功したアカウント情報の利用
    コンボリストを用いて不正アクセスに成功したアカウントは、再度販売されたり、さらに他の攻撃(例えば、個人情報や金銭の窃取)に使用されたりします。

コンボリストのリスクと影響

コンボリストによる攻撃が成功すると、以下のようなリスクや影響が生じます:

  1. アカウントの乗っ取り
    メールアドレスやSNS、オンラインバンキングなど、さまざまなアカウントが乗っ取られることで、個人情報の漏洩や金銭的被害が発生する可能性があります。
  2. 金銭的被害
    クレジットカード情報や支払い情報を登録しているアカウントが乗っ取られると、詐欺的な購入や不正送金による金銭的な被害が生じます。
  3. 情報漏洩とプライバシーの侵害
    乗っ取られたアカウントから個人のメールやメッセージ、写真などが流出することで、プライバシーが侵害されます。これにより、二次的な被害や評判への悪影響が発生する可能性があります。
  4. なりすましや詐欺
    攻撃者が不正アクセスしたアカウントを利用して、SNSやメールで他の人になりすまし、さらなる詐欺行為を行うリスクがあります。

コンボリストへの対策

コンボリストによる被害を防ぐためには、次のような対策が効果的です:

  1. パスワードの使い回しを避ける
    各サービスで異なるパスワードを設定し、パスワードの使い回しを避けることで、1つのアカウント情報が流出しても他のサービスへの被害を防ぎます。
  2. 強力なパスワードの使用
    簡単に推測されにくい、複雑で長いパスワードを使用することで、攻撃者がパスワードを破る可能性を低減します。
  3. 多要素認証(MFA)の有効化
    可能な限り、二要素認証や多要素認証を有効にすることで、不正アクセスされにくくなります。認証コードやバイオメトリクスによる追加の認証要素があることで、セキュリティが強化されます。
  4. パスワードマネージャーの利用
    複数のパスワードを安全に管理するため、パスワードマネージャーを利用すると、各サービスで異なる強力なパスワードを簡単に利用できます。
  5. セキュリティ通知の確認
    各サービスで提供されるセキュリティ通知(不正アクセスやログイン通知)を有効にし、異常なログインが検出された際にはすぐに対応できるようにします。
  6. データ漏洩のチェック
    既存のメールアドレスやパスワードが過去に漏洩していないか確認できるWebサービス(例:Have I Been Pwned)を利用し、自分のアカウント情報が漏洩していないか定期的にチェックします。

まとめ

コンボリストは、過去の情報漏洩や攻撃によって収集されたアカウント情報のリストであり、特にパスワードの使い回しを狙ったクレデンシャルスタッフィング攻撃に利用されます。この攻撃が成功すると、アカウント乗っ取りや個人情報の漏洩、金銭的な被害が発生する可能性があります。コンボリストによる被害を防ぐためには、パスワードの使い回しを避け、強力なパスワードや多要素認証の導入、セキュリティ通知の活用などの対策を行うことが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。