昨今の攻撃を見ていると，リスト型アカウントハッキング攻撃の意図は金銭にあるのではないか？というのは真っ先に思いつく．
問題は，攻撃者は金銭をどうやって得るか？というところなのだが…．

基本，リスト型アカウントハッキング攻撃で入手可能な情報は，それ単体ではあまり換金性は高くないという認識を持っている．但し，リスト型アカウントハッキング攻撃を用いて入手した情報を，さらに換金性の高いサービス攻略に使うとなると話は別だ．

次に思いつくのは，「次の攻撃実施に備えた準備行動」という点である．
機械的に情報を収集して，その情報の集合をビッグデータに見立てて分析・何らかの法則性なり規則性なり傾向を見出す，というのは考えられる．一定の傾向を保有するユーザについて，ガードが甘く金持ちとかいう情報が導き出された場合，ある意味カモリストが出来上がる，というわけだ．

そして最後に思いつくのは「攻撃用アカウントリストの精度向上」である．
例えは悪いが，大量のアカウントとパスワードの組を使ってログイン試行を行うのは，ピンポンダッシュを大量に行うのと似た感覚である．ところが，このログイン試行を多くのサービスで実施すると，ユーザとパスワードの結びつきがどこまであるか（どこまでパスワードが使いまわされているか）を見出すことが可能になる．

もし「よくあるパスワード」がわかれば，それを使えば攻撃の成功率が向上するという結果になるし，「よくあるパスワードの付け方」が，取得した情報からわかれば，それは攻撃者が道具として使えるものが増える結果になる．

手っ取り早いのは「Google，Yahoo，Twitter，Adobe IDで検証済みのIDとパスワードを5万組」とかいう売り方は十分ありうるとオレは感じたし，「IDとパスワードの使い回しはやめよう」ということはよく言われているものの，それを我が身のことと思ってくれる人はそもそもそんなことはしていない．本当に対処が必要なのは，そういう人なのではないか？とも感じている．