パスワードリスト攻撃とは？

他の方が回答されていますが流出したパスワードも元にIDやパスワードのリストを作成したりしてそれを自動的に入力してするようプログラムを使ったりしますね。 >パスワードが一文字でも違っていれば については「数十万人分のものが漏れてしまった場合のことです。」って条件がついているなら一文字違いであれば不正ログインされる可能性は低いかと。 そう言う場合は漏れたパスワードのリストをそのまま使うのが殆どでしょうから。

おっしゃる通りの理解です。 ただ、数年前に流出して、現在何も被害が出ていないのであれば、まず放っておいて問題ありません。 今後、被害が生じる可能性はかなり低いと思います。

再度補足いただきありがとうございます。 『もともと登録していたあるウェブサイトから百数十万人のメールアドレスとパスワードが漏れてしまったこと』 ですから、そのウェブサイトの管理人がフィッシング被害に遭ったということです。わかりにくくてすいません。 流出したメールアドレスの頭部分とパスワードの一致は物凄くまずい状況ですね。 リストに登録されてしまったので色々な他のサイトのログイン時に不正アクセスされる対象となるでしょう。 ですが、セキュリティの高いサイト（銀行など）のログインではそのようなわかりやすい登録はできないはずですが・・・。 ・パスワード変更 ・ワンタイムパスワードなどの二段階認証設定 ・ログインアラート通知 これらをされてみてはいかがでしょうか？

IDとパスワードの組が多数流出したようなケースだと、それを活用した攻撃だと、全く同じパスワードだけが試されるでしょうから、1文字違いとかは大丈夫です。 これと別に、IDの一覧だけを使って、それに「よく使われるパスワードのリスト」を組み合わせた攻撃もあるので、そういうのにたまたま合致すると成功しますが、まあ、それは無いでしょうね。

補足いただきありがとうございます。 おっしゃっているのはフィッシングと呼ばれるものですね。 フィッシング詐欺であったり、マルウェア感染させたりして個人情報を盗む行為です。 この盗んだ情報（例えば、メールとパスワード）で勝手にアクセスされるわけですので、一文字でも変えられるとログインされる可能性は極めて低くなります。 ですが、先に申しましたようにたった一文字ですと、全数攻撃やらAI攻撃であっという間に突破される可能性もありますので、盗まれたものと無関係のパスワードを再作成されることをおすすめします。

パスワードリスト攻撃というのは、 あらかじめ盗んだパスワードやわかりやすいパスワード「abcdefg」「password」「123456」「iloveyou」などをリスト化しているものを用いて一つ一つ、該当するかプログラムを組んで機械的に処理される攻撃です。 リストに入っていなければ、パスワードリスト攻撃は通用しません。 ですが、最近はそのパスワードリストからAIが推測してこんなパスワードを作るであろう推測リストを作ったAI作成パスワードリストが存在するという都市伝説があったり・・・。 また、全数アタックという攻撃もあるので、英数字の組み合わせや文字数の長めでのパスワードを作成することをおすすめします。

>パスワードリスト攻撃はプログラムのようなもので機械的に行われるんですか？それとも手動でやるのですか？ 手動ではなく、プログラムで行います。 >もし、漏れたパスワードと他のサイトで使っているパスワードが一文字でも違っていれば、たとえメールアドレスから推測できても、不正ログインされる可能性は低いですか？ メールアドレスだけ使って、パスワードは総当たりでやればログインできるかも知れません。