リスト型アカウントハッキング攻撃とは，通常のブルートフォース攻撃とは違い，準備したIDとパスワードの一覧を用いてログイン試行を片っ端から行なっていく攻撃，と認識している．
IDを固定してパスワードをあれこれトライしていくタイプのブルートフォース攻撃の場合は，ログイン試行回数を超えると当該IDの利用は停止される（アカウントロックされる）ため，当該IDの持ち主は何らかの攻撃対象になったことに気付く．
ところが，リスト型アカウントハッキング攻撃は，同じIDで複数のパスワードというわけではなく，IDとパスワードの組を複数回試していく．このため，試行回数で縛ろうとしても無理，という話になる．
このあたりの話は，徳丸さんの日記に詳しいので，省略する*1．

このところ，「大量のアカウントに対して不正にログインされた」という話は多く耳にするが，「それによって（不正ログインされた以外の）実害が発生した」という話はあまり聞かない．

オレがこの話を聞いて感じるのは

• 入手したリストの確度を確認するために攻撃を繰り返している
• アカウントごとにログイン成功したサイト数を確認し，より価値の高い（ログイン成功＆攻撃に使える）アカウントリスト（＝カモリスト）を作成している

ということだ．

• 入手したアカウントとパスワードのリストは，何もしなければただの文字列の塊である．
• かといって，実際に何かを仕掛ける時に初めて使うというのも（攻撃側にとって）リスキーである．
• 攻撃側が（実害を発生させない程度に）認証トライし，リストの品質を確認する

ということを行った結果が，ここのところよく聞かれる攻撃の裏側にあるのではないか？というのがオレが持っている仮説の1つ．なんというか，タダで教えてくれるんだから，これほどおいしいテストシステムはないよねｗ

で，対策についてはよく言われているが，サービスやサイトごとにパスワード変えてねとしかいいようがない．
機械的に来るアクセスをシステム側で弾くためには，（これまたよく言われてることだが）CAPTCHA認証を入れて，（強制的に）人手を介するようなつくりにすることなどが挙げられる．

…確かに破綻してると言われるわけだわ．