「不正アクセスのニュースで『ブルートフォース攻撃』と『パスワードリスト攻撃』の両方を聞くけれど、具体的に何が違うのだろう?」
「自社のWebサイトやWebサービスを守るためには、それぞれどのような対策が必要なのだろう」
どちらもアカウントのログイン画面を狙う代表的なサイバー攻撃ですが、その攻撃アプローチと突破のロジックは180度異なります。
もしこの2つの違いを正しく理解していないと、一方の対策に偏ってしまい、もう一方の攻撃に対して「セキュリティの穴」を晒してしまうことになりかねません。
本記事では、ブルートフォース攻撃とパスワードリスト攻撃(および類似するパスワードスプレー攻撃)の決定的な違い、それぞれの具体的な手口、そして企業が取るべき客観的で実効性の高い防衛策についてわかりやすく比較・解説します。
1. 3分でわかる!攻撃手法のクイック比較表
まずは、ブルートフォース攻撃とパスワードリスト攻撃、さらに近年急増しているパスワードスプレー攻撃の全体像を比較表で整理します。
| 比較項目 | ブルートフォース攻撃(総当たり) | パスワードリスト攻撃 | パスワードスプレー攻撃 |
| アプローチの思想 | 数打てば当たる(下手な鉄砲も数撃ちゃ当たる) | 他人の鍵を使い回す(合鍵を試す) | 薄く広く試す(一つの鍵で多くのドアに挑戦) |
| 攻撃の素材 | 特定のID + あらゆる文字の組み合わせ | 外部から流出した本物のID・パスワードのリスト | 大量のID + よく使われる少数のパスワード |
| 狙われる弱点 | パスワードが短い、単純 | ユーザーが同じパスワードを複数のサービスで使い回している | パスワードが推測しやすい、アカウントロックの検知漏れ |
| 攻撃の効率 | 低い(突破までに時間がかかる) | 極めて高い(本物の情報を使うため数回の試行で成功する) | 中〜高(ロックを回避しつつ脆弱なアカウントを狙い撃つ) |
このように、「ゼロからパスワードを推測してこじ開ける」のがブルートフォース攻撃であるのに対し、「他所で漏洩した本物のIDとパスワードのリストを使い、そのままドアを開けようとする」のがパスワードリスト攻撃です。
2. 各攻撃の具体的な手口とメカニズム
それぞれの攻撃がどのように実行され、なぜ脅威となるのか、メカニズムを個別に解説します。
① ブルートフォース攻撃(総当たり攻撃)
特定のユーザーIDを1つ標的に定め、パスワードの組み合わせ(aaaa、aaab、aaac……など)をボットなどの自動化ツールで片端から試していく手法です。
- 特徴:文字数や使える記号が増えるほど試行回数が天文学的数字になるため、複雑なパスワードを設定しているアカウントに対しては時間がかかりすぎて突破が難しくなります。
- なぜ今も脅威なのか:いまだに
123456やpasswordといった「簡単なパスワード」を設定しているユーザーが多いため、攻撃ツールに登録された「辞書データ」を用いて、あっさりと数秒で破られてしまうケースが後を絶ちません。
② パスワードリスト攻撃(リスト型アカウントハッキング)
別のWebサイトやサービスから何らかの理由で流出した「ID(メールアドレス)とパスワードの組み合わせリスト」を入手し、それを自社のログイン画面に1件ずつ自動で入力してログインを試みる手法です。
- 特徴:ユーザーが複数のサービスでパスワードを「使い回している」という心理的な脆弱性を突きます。
- なぜ脅威なのか:リストにある情報は「どこかのサービスで実際に使われていた本物のパスワード」であるため、1回〜数回の試行で正規ユーザーとしてログインが成功してしまいます。システム側から見ると「正しいIDとパスワードを入力した正規のアクセス」に見えるため、不正アクセスとしての検知が非常に困難です。
③ パスワードスプレー攻撃(簡単に紹介)
ブルートフォース攻撃の派生手法です。
1つのIDに対して何万回も試行するとアカウントロックがかかるため、逆に「大量のIDに対して、よく使われるパスワード(例:Welcome2026!など)を1回ずつ試す」という手法をとります。
霧吹き(スプレー)を吹きかけるように、システム全体に薄く広く攻撃を仕掛けることで、アカウントロックの網をかいくぐりながら脆弱なアカウントを特定します。
3. 企業が取るべき「攻撃別」のセキュリティ対策
攻撃のロジックが異なるため、防御側もそれぞれに適した対策を組み合わせる必要があります。
ブルートフォース攻撃に有効な対策
ブルートフォース攻撃の弱点は「ログインに成功するまで、同一アカウントに対して膨大な回数の誤入力を繰り返さなければならない」点です。
そのため、以下の対策が劇的な効果を発揮します。
- アカウントロック機能:連続して複数回(例:5回)ログインを失敗したアカウントを一時的に凍結する。
- パスワードの複雑化義務付け:英大文字・小文字、数字、記号を組み合わせた12文字以上の設定を必須にする。
- IPアドレス制限やボット検知:同一のアクセス元から秒間数十回のアクセスがあった場合に通信を遮断する。
パスワードリスト攻撃に有効な対策
パスワードリスト攻撃は「本物のパスワードを数回の試行で入力してくる」ため、アカウントロックや複雑なパスワードの設定だけでは防ぎきれません。
以下の対策が必須となります。
- 多要素認証(MFA)の導入(最も有効):IDとパスワードが合致していても、スマートフォンのワンタイムパスワードや生体認証などを追加で要求します。これにより、パスワードが合鍵として機能しなくなります。
- 二段階認証・ログイン通知:普段とは異なるIPアドレスや端末からログインがあった際、ユーザーにメールやアプリで通知し、本人の確認を求めます。
- 「パスワード使い回し」の危険性を啓発する:従業員やサービス利用ユーザーに対し、パスワードを他サービスと共通にすることのリスクを徹底して周知します。
まとめ:両方の脅威に備える「多層防御」を
ブルートフォース攻撃とパスワードリスト攻撃は、狙う隙もアプローチも異なります。
- ブルートフォース攻撃は、パスワードの「単純さ(文字の短さ)」を狙う。
- パスワードリスト攻撃は、人間の「パスワード使い回し」という油断を狙う。
- これら双方から自社の情報資産を守るためには、「多要素認証(MFA)の導入」と「全社的なパスワード管理ルールの徹底」を両輪で進めることが客観的に最も有効な解決策となります。
自社で運用しているシステムや提供しているサービスの認証フローを見直し、どちらの攻撃が来ても破られない堅牢な仕組みを構築していきましょう。
情報セキュリティ研修をご検討中の方へ
当サイトでは、企業・自治体向けに以下のサービスをご提供しています。
- 研修動画パッケージ(買い切り型)
- 講師派遣による対面・オンライン研修
- 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター
動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。
料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。



と二要素認証(2FA)の違いとは?-160x90.png)
