最近メールアドレスをIDとするサイトを中心にアカウントのリストを元に自動ログインを繰り返す攻撃が増えている。
これらの攻撃の共通点として、どこかしらから漏れたアカウントのリスト(さまざまなところで流出が相次いでいるのでメールアドレスはどこからでも漏れる可能性があると考えるべき)を元に考えられるパスワードを何回か試行してアカウント乗っ取りをたくらむという自動プログラムである。
仮にログインに成功したら、次は別のメールアドレスをIDとしているサイト(いっぱいある)に、成功したIDとパスワードの組み合わせで試してみる。同じIDとパスワードを使っていたら、その時点でジ・エンド。おそらく攻撃者の間で「同じIDとパスワードの組み合わせのアカウントリスト」として出回ることだろう。