過去問では、パスワードリスト攻撃に関して、「どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて,他のWebサイトに対してログインを試行する(H27AP春午前問39)」とある。

パスワードを使いまわす人が多い。パスワードがたくさんあるし、簡単なパスワードは許してくれず、8文字以上で英数記号を入れろと言われると、さすがにつらい。
もしあるシステムのID/パスワードが流出すると、それを使って、他のシステムにログインするのである。
これはとても厄介だ。というのも、1回で成功してしまうこともあるからだ。1回で成功するのであれば、正規ユーザとしか、システムでは判断ができない。
IPAの以下の資料が詳しい。
https://www.ipa.go.jp/security/txt/2013/08outline.htmlパスワードリスト攻撃_情報セキュリティスペシャリスト試験

以下は、パスワードリスト攻撃を受けた情報をまとめたサイトである。
多くの場合、アカウントロックがされていなかったり、同一IPアドレスからの攻撃を検知していないなど、対策が不十分だったようである。
https://jamhelper.com/caseoflistattack/