オンラインセキュリティを強固にするために気をつけるべきことを理解している人は多いでしょう。しかしそれを実践しきれないと、辞書攻撃と呼ばれるサイバー犯罪の被害に遭ってしまうことがあります。オンラインアカウントを保護する必要があると理解している人が多い一方で、強力なパスワードを作成するというシンプルで有効な対応策を取っていない人もいます。実際に、Googleの調査結果によると、推定で65%の人々が複数のアカウントで同じパスワードを使いまわしていること、そして59%の人々が、ペット名や誕生日など、推測・発見されやすい個人の詳細情報をパスワードに使用していることがわかっています。
また、多くの人が簡単に見破ることができる単純なパスワードを使用しています。調査の結果、「123456」や「qwerty」などのキーボードの並び、「Password」、「iloveyou」、「Welcome」などのフレーズが、最も一般的に使用されており、情報漏えいの際には、これら単純なものが使われていたケースがよく報告されています。
このことを考えると、パスワード解明を狙ったサーバー攻撃は非常に一般的で成功率が非常に高いことがわかるでしょう。残念ながら辞書攻撃から身を守る行動ができていない人が多いのが現状です。
辞書攻撃の仕組みや対策方法を見ていきましょう。
辞書攻撃は、『総当たり攻撃』が最もシンプルな形です。ハッカーは、よく使われる一般的な単語やフレーズ、数字の組み合わせのリストを素早く調べることで、ユーザーのオンラインアカウントのパスワードを推測しようとします。辞書攻撃によってパスワードの解読に成功すると、ハッカーはこれを使用して、銀行口座やソーシャルメディアのアカウント、さらにはパスワードで保護されたファイルなどにアクセスできるようになります。この時点で、被害者にとってはかなり現実的な問題となります。
この種のハッキングでは、パスワードを解読するために体系だったアプローチが使用されます。これらのハッキングをスムーズに実行するための基本的なステップは3つで、これらを把握することで、辞書攻撃を防ぐ方法を理解しやすくなります。
パスワードと考えられるリストをまとめるために、攻撃者はよく、一般的なペット名やよく目にするポップカルチャーの有名人、または主なスポーツチームやアスリート名などを使用します。その理由は、多くの人々がこの種の単語を使用して、自分にとって意味があり、簡単に覚えることができるパスワードを作成するからです。このリストには、これらのバリエーションも含まれます。例えば、さまざまな単語の組み合わせや特殊文字の追加などです。
自動化されたツールを使用してこのリストを実行すると、辞書攻撃が成功しやすくなります。パスワードのリストと自動化されたツールを合わせて使用することで、パスワードを解読してオンラインアカウントにハッキングする試行時間を大幅に短縮できます。この作業を手動で行うと、攻撃に時間がかかりすぎるため、攻撃者にとっては、アカウントの所有者(またはシステム管理者)に攻撃に気付いて防御する時間を与えてしまうことになります。
こうした自動化されたツールを使用する辞書攻撃には、個別の標的がありません。辞書攻撃は、リスト上にあるパスワードのどれかが合っていることを狙って実行されます。ただし、攻撃者が特定のエリアや組織を標的にしている場合、より焦点を絞った局地的な単語のリストを作成します。例えば、攻撃者がスペインで攻撃を実行することを計画している場合、英語の代わりにスペイン語の単語を使用する場合があります。または、特定の組織を標的にしている場合、その企業に関連する単語を使用する場合があります。
辞書攻撃が一種の総当たり攻撃であるとは言え、この2つの間には重要な違いがあります。辞書攻撃では、事前に設定した単語のリストを使用してアカウントのパスワードを解読しようとしますが、総当たり攻撃ではリストを使用せず、パスワードに含まれている可能性がある文字や記号、数字のランダムな組み合わせを使用します。試してみる組み合わせの数が少なくなるため、たいていは辞書攻撃の方が攻撃者にとっては効率的で、成功する確率が高くなります。
アルファベット26文字と1桁台の数字10個(合計36文字)を使用すると、総当たり攻撃成功のために使用する必要がある組み合わせの数は、かなり非現実的なものになります。具体的には、総当たり攻撃で10文字のパスワードを解読しようとすると、使用する「考えられる英数字のパスワードの数」は3,760兆になります。
ただし、攻撃者にとっての総当たり攻撃の利点は、その試行錯誤アプローチを使用して難解な固有のパスワードを解読できる確率が高くなることです。総当たり攻撃では、考えられるパスワードの包括的なリストを使用するため、その攻撃で最終的に、任意のパスワードの文字の組み合わせを解読できる確率が高くなるのです。
辞書攻撃の概要と仕組みが理解できれば、辞書攻撃の防止に向けて一歩前進です。適切に辞書攻撃の防止に取り組むために、次のヒントが役に立ちます。
パスワードマネージャーは、アカウントの資格情報を安全に管理し、辞書攻撃の被害に遭う確率を最低限に抑える上で役に立つ手段です。カスペルスキー パスワードマネージャーなどのアプリは、パスワードの安全を確保するのに役立つ以下のようなメリットを備えています。
辞書攻撃は、銀行口座やSNS、メールを含む個人のアカウントにハッカーがアクセスするために使用する非常に一般的なサイバー犯罪です。ハッカーにアクセス権を奪われてしまうと、金融詐欺や悪意のあるSNS投稿、フィッシングなどのその他のサイバー犯罪まで、あらゆる種類の行為を実行できる状態になってしまいます。これらの攻撃の被害に遭うリスクを最小限に抑えるために一定の防御策を講じることで、辞書攻撃を防ぐことができます。例えば、適切なパスワード管理習慣を身に付ける、さまざまな種類の認証を採用する、簡単に入手可能なパスワードマネージャーを使用するといった対策のすべてが、パスワードとアカウントの安全を確保する上で役に立ちます。
Kaspersky Endpoint Securityは、2021年に企業のエンドポイントセキュリティ製品の最高のパフォーマンス、保護、および使いやすさで3つのAV-TEST 賞を受賞しました。すべてのテストで、Kaspersky Endpoint Securityは企業にとって優れたパフォーマンス、保護、および使いやすさを示しました。
関連製品とサービス
関連記事