辞書攻撃とは

大半の人々は、優れたオンラインセキュリティ習慣を理解しています。しかし、しばしばこの習慣を最大限使用できず、辞書攻撃を受けやすくなってしまいます。多くの人々は、オンラインアカウントを保護する必要があることを理解していながら、強力なパスワードを作成するという単純なガイドラインに従うことができません。実際に、Googleの調査の結果、推定で65%の人々が複数のアカウントにわたってパスワードを使いまわしていることが判明しました。また、59%の人々が、ペット名や誕生日などの推測または発見しやすい個人の詳細情報をパスワードに使用しています。

また、人々は多くの場合、簡単に見破ることができる単純明快なパスワードを使用しています。調査の結果、「123456」や「qwerty」などのキーボードの並び、「Password」、「iloveyou」、「Welcome」などのフレーズが、最も一般的に使用されており、情報漏えいの際にたびたび登場していることが示されています。

これが意味することは、これらの攻撃は非常に一般的で成功率が非常に高いということです。その理由は単純で、人々が辞書攻撃の防止について真剣に考えていないからです。

辞書攻撃：定義

辞書攻撃は、一種の総当たり攻撃が最もシンプルな形です。この場合、ハッカーは、一般的に使用されている単語、フレーズ、数字の組み合わせのリストを素早く調べることで、ユーザーのオンラインアカウントのパスワードを推測しようとします。辞書攻撃によってパスワードの解読に成功すると、ハッカーはこれを使用して、銀行口座、ソーシャルメディアプロファイル、さらにはパスワードで保護されたファイルなどにアクセスできるようになります。この時点で、攻撃者の被害者にとって現実的な問題となります。

辞書攻撃の仕組み

この種のハッキングでは、パスワードを解読するために体系的なアプローチを使用します。これらのハッキングを首尾よく実行するための基本的なステップが3つあり、これらを把握すると、辞書攻撃を防ぐ方法を理解しやすくなります。

1. 攻撃者は通常、一般的な単語や数字の組み合わせを使用したパスワードと思われる事前に定義したリスト（総当たり攻撃辞書）を作成します。
2. 自動化されたソフトウェアがこの総当たり攻撃辞書を使用して、オンラインアカウントへのハッキングを試みます。
3. 辞書攻撃によってぜい弱なアカウントへのハッキングに成功すると、ハッカーは、自分の目的を実行するためにプロファイルに保存されている機密データを使用します。これには、詐欺を行う、悪意のある行為を実行する、または単純に金銭目的でアカウントにアクセスする、などの目的があります。

パスワードと考えられるリストをまとめるために、攻撃者はしばしば、一般的なペット名、よく目にするポップカルチャーの有名人、または主なスポーツチームやアスリートなどを使用します。その理由は、多くの人々がこの種の単語を使用して、自分にとって意味があり、簡単に覚えることができるパスワードを作成するからです。このリストには通常、これらのバリエーションが含まれます。たとえば、単語のさまざまな組み合わせや特殊文字の追加などです。

自動化されたツールを使用してこのリストを実行すると、辞書攻撃が成功しやすくなります。パスワードのリストと自動化されたツールを合わせて使用することで、パスワードを解読してオンラインアカウントにハッキングする試行時間を大幅に短縮できます。この作業を手動で行うとすると、攻撃には時間がかかりすぎ、攻撃に気付いて防御する時間をアカウントの所有者（またはシステム管理者）に与えてしまいます。

これらの辞書攻撃には多くの場合、その仕組みのため、個別の標的がありません。辞書攻撃は、むしろリスト上のいずれかのパスワードが合っていることを期待して実行されます。ただし、攻撃者が特定の場所または組織を標的にしている場合、より焦点を絞った局地的な単語のリストを作成します。たとえば、攻撃者がスペインで攻撃を実行することを計画している場合、英語の代わりにスペイン語の単語を使用する場合があります。または、特定の組織を標的にしている場合、その企業に関連する単語を使用する場合があります。

辞書攻撃と総当たり攻撃：違い

辞書攻撃が一種の総当たり攻撃であるとは言え、この2つの間には重要な違いがあります。辞書攻撃では、事前に設定した単語のリストを使用してアカウントのパスワードを解読しようとしますが、総当たり攻撃では、リストを使用せずに代わりに、パスワードを作成するために使用されている可能性がある文字、記号、数字のあらゆるランダムな組み合わせを使用します。このため、たいていは辞書攻撃の方がより効率的で、成功する確率が高くなります。その理由は単純で、試してみる組み合わせの数が少なくなるからです。

アルファベット26文字と1桁台の数字10個（合計36文字）を使用すると、総当たり攻撃が成功するために使用する必要がある考えられる組み合わせの純粋な数は、ほぼ非現実的な数になります。具体的には、総当たり攻撃で10文字のパスワードを解読しようとすると、使用する考えられる英数字のパスワードの数は3,760兆になります。

ただし、総当たり攻撃の利点は、その試行錯誤アプローチを使用して難解な固有のパスワードを解読できる確率が高くなることです。総当たり攻撃ではこのような考えられるパスワードの包括的なリストを使用するため、その攻撃で最終的に、任意のパスワードの文字の適切な組み合わせを解読できる確率が高くなります。

辞書攻撃を防ぐ方法

辞書攻撃の概要と仕組みを理解できれば、辞書攻撃の防止に向けて一歩進むことができます。とはいえ、辞書攻撃の防止に真剣に取り組んでいる人にとっては、次のヒントが役に立ちます。

1. 可能であればパスワードを使用しない：辞書攻撃を回避する最も簡単で確実な方法は、パスワードを一切使用しないことです。代わりに、可能であれば、パスワード不要な認証ソリューションと生体認証ログインを使用してアカウントの安全を確保します。
2. ランダムなパスワードを使用する：誕生日、ペット名、または簡単に発見できるその他の情報などの個人の詳細が組み込まれたパスワードを作成しないようにしてください。パスワードマネージャーを使用すると、安全な形式でパスワードを作成、保存、入力しやすくなります。
3. 見え透いたパスワードを使用しない：驚いたことに、多くの人々が、「Password123」や「abcd1234」などの、解読しやすい基本的な単語と数字の組み合わせをパスワードとして使用しています。これらは、ハッキングに対して最もぜい弱です。なぜなら、辞書攻撃は、推測しやすいパスワードを解読することに特化して設計されているからです。
4. パスフレーズを使用する：単語と数字の組み合わせをパスワードとして使用するのではなく、アカウントにアクセスするために1つのフレーズを作成します。これらは、より推測しにくいながらも、たいていはユーザーが簡単に覚えることができます。たとえば、フットボールがすきな人であれば、「I want to be a linebacker for the Patriots」（私はペイトリオッツのラインバッカーになりたい）というフレーズを使用できます。このフレーズをより安全にするために、ランダムな数字、文字、大文字を追加し、「“IW@nT2B@L!n3B@ckER4THEPatr!0tS!」に変更します。
5. 2要素認証を使用する：ログインするたびに2要素（またはそれ以上）の認証を必要とするようアカウントをセットアップします。たとえば、パスワード、認証アプリによって生成されるワンタイムパスワード、指紋などです。
6. 認証アプリを試す：可能であれば、パスワードではなく（またはパスワードと一緒に）認証アプリケーションを試してみてください。これらのアプリの多くは、スマートフォンに簡単にダウンロードし、特定のアカウントに関連付け、ログイン試行のたびにランダムに生成されるワンタイムパスワードを提供できます。
7. ログイン試行回数を制限する：一部のWebサイトやアプリでは現在、一定の期間内に許可されるログイン試行回数が制限されています。これがオプションの場合は、アカウントごとにこの制限を有効化し、辞書攻撃を回避してください。
8. リセットを強制する：辞書攻撃は多くの場合、パスワードを解読するために複数回のログイン試行に頼ります。ログイン試行に一定回数失敗した後にパスワードのリセットを強制することで、攻撃が成功する確率を最低小限に抑えてください。この対策をアカウントで自動的に有効化できない場合は、ログイン試行が失敗したときに自分にメールを送信することをオンラインアカウントで有効化することで、より手動的な方法で対策を講じることができます。誰かがアカウントにアクセスしようとしていると通知された場合、特にこれらの通知を短時間に連続して受け取った場合、アカウントにアクセスしてパスワードを変更することで、アカウントの安全を確実に確保できます。
9. 特定の単語を使用しないようにするすべてのパスワードで一般的な単語を使用しないようにすると、アカウントのセキュリティが強化されます。

パスワードマネージャーは辞書攻撃の防止の役に立つか？

パスワードマネージャーは、アカウントの資格情報を安全に管理し、辞書攻撃の被害に遭う確率を最低限に抑える上で役に立つ手段です。カスペルスキー パスワードマネージャーなどのアプリは、パスワードの安全を確保する上で役に立つ一連のメリットを備えています。パスワードマネージャーを使用する理由を次に示します。

• 1つのパスワードのみを使用する：パスワードマネージャーを使用すると、マスターパスワードを覚えておくだけで、アカウントにログインし、個々のアカウントのその他のログイン資格情報をすべて管理できます。
• 強力なランダムパスワードを生成する：これらのプログラムの大半で、ランダムに生成された非常に強力なパスワードをユーザーが作成できます。こうしたパスワードには一般的な単語やフレーズが使用されていないため、通常、辞書攻撃に対して安全です。ただし、当然、総当たり攻撃は依然として成功する可能性があります。
• アカウントに簡単にアクセスする：多くの場合、パスワードマネージャーには、各個別アカウントのログイン資格情報を安全に保存し、Webサイト、アカウント、またはアプリにログインしようとするたびにこれらの資格情報を自動的に入力する機能が用意されています。
• パスワードを安全に共有する：友達、家族、または同僚などとアカウントのパスワードを共有する必要がある場合、パスワードマネージャーを使用すると、アクセスも管理しながら、このような共有を安全に行うことができます。
• 安全なストレージを使用する：パスワードマネージャーの多くは現在、個人的な文書、医療記録、写真などのデータを暗号化された形式で保存する機能も備えているため、機密データを安全に確保できます。

辞書攻撃を防ぐための対策を講じる

辞書攻撃は、銀行口座、ソーシャルメディアプロファイル、メールを含む個人のアカウントにハッカーがアクセスするために使用する非常に一般的な種類のサイバー犯罪です。ハッカーがアクセス権を獲得すると、金融詐欺から悪意のあるソーシャルメディア投稿、フィッシングなどのその他のサイバー犯罪まで、あらゆる種類の行為を実行できます。ただし、辞書攻撃を防ぐには、これらの攻撃の被害に遭うリスクを最小限に抑えるために一定の防御策を講じる、というシンプルな対策ですみます。たとえば、スマートなパスワード管理習慣を身に付ける、さまざまな種類の認証を採用する、簡単に入手可能なパスワードマネージャーを使用するといった対策すべてが、パスワードとアカウントの安全を確保する上で役に立ちます。

Kaspersky Endpoint Securityは、2021年に企業のエンドポイントセキュリティ製品の最高のパフォーマンス、保護、および使いやすさで3つのAV-TEST 賞を受賞しました。すべてのテストで、Kaspersky Endpoint Securityは企業にとって優れたパフォーマンス、保護、および使いやすさを示しました。

関連記事やリンク

• 見破られにくい強力なパスワードの作り方とは？
• パスワードマネージャーとは？｜覚えられないPWを安全に管理する最良の方法

関連製品とサービス

• カスペルスキー プレミアム
• カスペルスキー パスワードマネージャー