パスワードリスト攻撃とは、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一種である。不正ログインのためにIDとパスワードがセットになったリストを利用することから本名称となっている。以前からある総当たりを中心とした手法であるブルートフォース攻撃や辞書攻撃とは区別され、リスト型攻撃やリスト型アカウントハッキング攻撃と呼ばれることもある。
近年、パスワードリスト攻撃による被害が増えている理由として、IDとパスワードがセットになったリストがダークWebなどで販売されている点が挙げられている。このリストは他のサービスから流出、窃取されたIDとパスワードから構成され、他のサービスでも同様のID、パスワードを利用している場合には総当たりが不要で、本リストに従って不正アクセスの試みを行うことで容易にアカウントの乗っ取りが可能となる。そのため攻撃者にとっては効率が高い攻撃手法となっている。
各種サービスの普及・活用により多くのサービスのアカウント情報を保持する利用者側が、同一のID・パスワードを登録するケースが増えており、そのような状況も本攻撃手法が有効となっている要因として挙げられる。
サービス提供側の対策としては不正なログイン試行の兆候や、不正にアクセスされたアカウントが普段と違う行為を行っていないか等の監視、早期検出が必要となる。また利用者側もID・パスワードはなるべく共通のものを利用しないこと、および二要素認証、二段階認証が導入されているサービスにおいては、その機能を積極的に活用するなどの自営の手段も求められる。
