オンラインセキュリティを強固にするために気をつけるべきことを理解している人は多いでしょう。しかしそれを実践しきれないと、辞書攻撃と呼ばれるサイバー犯罪の被害に遭ってしまうことがあります。オンラインアカウントを保護する必要があると理解している人が多い一方で、強力なパスワードを作成するというシンプルで有効な対応策を取っていない人もいます。実際に、Googleの調査結果によると、推定で65%の人々が複数のアカウントで同じパスワードを使いまわしていること、そして59%の人々が、ペット名や誕生日など、推測・発見されやすい個人の詳細情報をパスワードに使用していることがわかっています。
また、多くの人が簡単に見破ることができる単純なパスワードを使用しています。調査の結果、「123456」や「qwerty」などのキーボードの並び、「Password」、「iloveyou」、「Welcome」などのフレーズが、最も一般的に使用されており、情報漏えいの際には、これら単純なものが使われていたケースがよく報告されています。
このことを考えると、パスワード解明を狙ったサーバー攻撃は非常に一般的で成功率が非常に高いことがわかるでしょう。残念ながら辞書攻撃から身を守る行動ができていない人が多いのが現状です。
辞書攻撃の仕組みや対策方法を見ていきましょう。
辞書攻撃とは
辞書攻撃は、『総当たり攻撃』が最もシンプルな形です。ハッカーは、よく使われる一般的な単語やフレーズ、数字の組み合わせのリストを素早く調べることで、ユーザーのオンラインアカウントのパスワードを推測しようとします。辞書攻撃によってパスワードの解読に成功すると、ハッカーはこれを使用して、銀行口座やソーシャルメディアのアカウント、さらにはパスワードで保護されたファイルなどにアクセスできるようになります。この時点で、被害者にとってはかなり現実的な問題となります。
辞書攻撃の仕組み
この種のハッキングでは、パスワードを解読するために体系だったアプローチが使用されます。これらのハッキングをスムーズに実行するための基本的なステップは3つで、これらを把握することで、辞書攻撃を防ぐ方法を理解しやすくなります。
- 攻撃者は通常、一般的な単語や数字の組み合わせを使用したパスワードと思われるリスト(総当たり攻撃辞書)を作成します。
- 自動化されたソフトウェアがこの総当たり攻撃辞書を使用して、オンラインアカウントへのハッキングを試みます。
- 辞書攻撃によってぜい弱なアカウントへのハッキングに成功すると、ハッカーは、自分の目的を実行するためにプロファイルに保存されている機密データを使用します。これには、詐欺を行う、悪意のある行為を実行する、または単純に金銭目的でアカウントにアクセスする、などの目的があります。
パスワードと考えられるリストをまとめるために、攻撃者はよく、一般的なペット名やよく目にするポップカルチャーの有名人、または主なスポーツチームやアスリート名などを使用します。その理由は、多くの人々がこの種の単語を使用して、自分にとって意味があり、簡単に覚えることができるパスワードを作成するからです。このリストには、これらのバリエーションも含まれます。例えば、さまざまな単語の組み合わせや特殊文字の追加などです。
自動化されたツールを使用してこのリストを実行すると、辞書攻撃が成功しやすくなります。パスワードのリストと自動化されたツールを合わせて使用することで、パスワードを解読してオンラインアカウントにハッキングする試行時間を大幅に短縮できます。この作業を手動で行うと、攻撃に時間がかかりすぎるため、攻撃者にとっては、アカウントの所有者(またはシステム管理者)に攻撃に気付いて防御する時間を与えてしまうことになります。
こうした自動化されたツールを使用する辞書攻撃には、個別の標的がありません。辞書攻撃は、リスト上にあるパスワードのどれかが合っていることを狙って実行されます。ただし、攻撃者が特定のエリアや組織を標的にしている場合、より焦点を絞った局地的な単語のリストを作成します。例えば、攻撃者がスペインで攻撃を実行することを計画している場合、英語の代わりにスペイン語の単語を使用する場合があります。または、特定の組織を標的にしている場合、その企業に関連する単語を使用する場合があります。
辞書攻撃と総当たり攻撃の違い
辞書攻撃が一種の総当たり攻撃であるとは言え、この2つの間には重要な違いがあります。辞書攻撃では、事前に設定した単語のリストを使用してアカウントのパスワードを解読しようとしますが、総当たり攻撃ではリストを使用せず、パスワードに含まれている可能性がある文字や記号、数字のランダムな組み合わせを使用します。試してみる組み合わせの数が少なくなるため、たいていは辞書攻撃の方が攻撃者にとっては効率的で、成功する確率が高くなります。
アルファベット26文字と1桁台の数字10個(合計36文字)を使用すると、総当たり攻撃成功のために使用する必要がある組み合わせの数は、かなり非現実的なものになります。具体的には、総当たり攻撃で10文字のパスワードを解読しようとすると、使用する「考えられる英数字のパスワードの数」は3,760兆になります。
ただし、攻撃者にとっての総当たり攻撃の利点は、その試行錯誤アプローチを使用して難解な固有のパスワードを解読できる確率が高くなることです。総当たり攻撃では、考えられるパスワードの包括的なリストを使用するため、その攻撃で最終的に、任意のパスワードの文字の組み合わせを解読できる確率が高くなるのです。
辞書攻撃への対策方法
辞書攻撃の概要と仕組みが理解できれば、辞書攻撃の防止に向けて一歩前進です。適切に辞書攻撃の防止に取り組むために、次のヒントが役に立ちます。
- 可能であればパスワードを使用しない:辞書攻撃を回避する最も簡単で確実な方法は、パスワードを一切使用しないことです。代わりに、可能であれば、パスワード不要な認証ソリューションと生体認証ログインを使用してアカウントの安全を確保します。
- ランダムなパスワードを使用する:誕生日、ペット名、または簡単に発見できてしまうその他の情報など、個人の詳細が組み込まれたパスワードにはしないようにしてください。パスワードマネージャーを使用すると、安全な形式でパスワードを作成、保存、入力しやすくなります。
- 安易なパスワードを使用しない:驚くべきことかもしれませんが、「Password123」や「abcd1234」など、解読しやすい基本的な単語と数字の組み合わせをパスワードとして使用している人が多くいます。辞書攻撃は、推測しやすいパスワードを解読することに特化して設計されているため、このような文字列は、ハッキングに対して最もぜい弱なパスワードです。
- パスフレーズを使用する:単語と数字の組み合わせをパスワードとして使用するのではなく、アカウントにアクセスするために1つのフレーズを作成します。これらは、攻撃者が推測しにくく、かつユーザーが簡単に覚えることができるのがメリットです。例えば、フットボールが好きな人であれば、「I want to be a linebacker for the Patriots」(私はペイトリオッツのラインバッカーになりたい)というフレーズを使用できます。このフレーズをより安全にするために、ランダムな数字、文字、大文字を追加し、「“IW@nT2B@L!n3B@ckER4THEPatr!0tS!」に変更します。
- 2要素認証を使用する:ログインするたびに2要素(またはそれ以上)の認証を必要とするようアカウントをセットアップします。例えば、認証アプリによって生成されるワンタイムパスワード、指紋などです。
- 認証アプリを試す:可能であれば、パスワードではなく(またはパスワードと一緒に)認証アプリケーションを試してみてください。これらのアプリの多くは、スマートフォンに簡単にダウンロードし、特定のアカウントに関連付け、ログイン試行のたびにランダムに生成されるワンタイムパスワードを提供してくれます。
- ログイン試行回数を制限する:一部のWebサイトやアプリでは現在、一定の期間内に許可されるログイン試行回数が制限されています。これがオプションの場合は、アカウントごとにこの制限を有効化し、辞書攻撃を回避してください。
- リセットを強制する:辞書攻撃は多くの場合、パスワードを解読するために複数回のログイン試行に頼ります。ログイン試行に一定回数失敗した後にパスワードのリセットを強制することで、攻撃が成功する確率を最小限に抑えられます。この対策をアカウントで自動的に有効化できない場合は、ログイン試行が失敗したときに自分にメールを送信することをオンラインアカウントで有効化することで、より手動的な方法で対策を講じることができます。誰かがアカウントにアクセスしようとしていると通知された場合、特にこれらの通知を短時間に連続して受け取った場合、アカウントにアクセスしてパスワードを変更することで、アカウントの安全を確実に確保できます。
- 特定の単語を使用しないようにする:すべてのパスワードで一般的な単語を使用しないようにすると、アカウントのセキュリティが強化されます。
辞書攻撃の防止に役立つパスワードマネージャー
パスワードマネージャーは、アカウントの資格情報を安全に管理し、辞書攻撃の被害に遭う確率を最低限に抑える上で役に立つ手段です。カスペルスキー パスワードマネージャーなどのアプリは、パスワードの安全を確保するのに役立つ以下のようなメリットを備えています。
- 使用するのが1つのパスワードだけで良くなる:パスワードマネージャーを使用すると、マスターパスワードを覚えておくだけで、アカウントにログインし、個々のアカウントのその他のログイン情報をすべて管理できます。
- 強力なランダムパスワードを生成できる:多くのパスワードマネージャーでは、ランダムに生成された非常に強力なパスワードを作成できます。こうしたパスワードには一般的な単語やフレーズが使用されていないため、通常は辞書攻撃に対して安全です。ただし、当然、総当たり攻撃は依然として成功されてしまう可能性があります。
- アカウントに簡単にアクセスできる:多くの場合、パスワードマネージャーには、各個別アカウントのログイン情報を安全に保存し、Webサイト、アカウント、またはアプリにログインしようとするたびにこれらの資格情報を自動的に入力する機能が用意されています。
- パスワードを安全に共有できる:友達、家族、または同僚などとアカウントのパスワードを共有する必要がある場合、パスワードマネージャーを使用すると、アクセスも管理しながら、このような共有を安全に行うことができます。
- 安全なストレージを使用できる:パスワードマネージャーの多くは現在、個人的な文書、医療記録、写真などのデータを暗号化された形式で保存する機能も備えているため、機密データを安全に確保できます。
辞書攻撃を防ぐための対策を講じましょう
辞書攻撃は、銀行口座やSNS、メールを含む個人のアカウントにハッカーがアクセスするために使用する非常に一般的なサイバー犯罪です。ハッカーにアクセス権を奪われてしまうと、金融詐欺や悪意のあるSNS投稿、フィッシングなどのその他のサイバー犯罪まで、あらゆる種類の行為を実行できる状態になってしまいます。これらの攻撃の被害に遭うリスクを最小限に抑えるために一定の防御策を講じることで、辞書攻撃を防ぐことができます。例えば、適切なパスワード管理習慣を身に付ける、さまざまな種類の認証を採用する、簡単に入手可能なパスワードマネージャーを使用するといった対策のすべてが、パスワードとアカウントの安全を確保する上で役に立ちます。
Kaspersky Endpoint Securityは、2021年に企業のエンドポイントセキュリティ製品の最高のパフォーマンス、保護、および使いやすさで3つのAV-TEST 賞を受賞しました。すべてのテストで、Kaspersky Endpoint Securityは企業にとって優れたパフォーマンス、保護、および使いやすさを示しました。
関連製品とサービス
関連記事