リスト型アカウントハッキング(パスワードリスト型攻撃)とは、Webサイトで漏洩したアカウント情報をリスト化し、他のWebサイトへの不正ログイン試行に転用する攻撃手法のことです。ログインIDにメールアドレスやユーザ指定の文字列を設定しているWebサイトが攻撃対象となります。
ユーザが複数のWebサイトで同じログインIDとパスワードの組み合わせを使い回している場合、この攻撃による被害を受ける可能性が高まります。ユーザ側でパスワードの使い回しをしないという対策を取ることは重要ですが、システム側でも何かしらの対策を講じてリスクを軽減するような工夫があると、よりユーザが安心して利用できるシステムになると考えられます。
システム側での対策としては、ワンタイムパスワードや追加認証などの多要素認証の導入、リスクベース認証の仕組みの導入、「他システムで利用しているパスワードを使い回さない」といったような注意喚起メッセージの掲示、休眠アカウントの凍結/削除などが挙げられます。
