大半の人々は、優れたオンラインセキュリティ習慣を理解しています。しかし、しばしばこの習慣を最大限使用できず、辞書攻撃を受けやすくなってしまいます。多くの人々は、オンラインアカウントを保護する必要があることを理解していながら、強力なパスワードを作成するという単純なガイドラインに従うことができません。実際に、Googleの調査の結果、推定で65%の人々が複数のアカウントにわたってパスワードを使いまわしていることが判明しました。また、59%の人々が、ペット名や誕生日などの推測または発見しやすい個人の詳細情報をパスワードに使用しています。
また、人々は多くの場合、簡単に見破ることができる単純明快なパスワードを使用しています。調査の結果、「123456」や「qwerty」などのキーボードの並び、「Password」、「iloveyou」、「Welcome」などのフレーズが、最も一般的に使用されており、情報漏えいの際にたびたび登場していることが示されています。
これが意味することは、これらの攻撃は非常に一般的で成功率が非常に高いということです。その理由は単純で、人々が辞書攻撃の防止について真剣に考えていないからです。
辞書攻撃は、一種の総当たり攻撃が最もシンプルな形です。この場合、ハッカーは、一般的に使用されている単語、フレーズ、数字の組み合わせのリストを素早く調べることで、ユーザーのオンラインアカウントのパスワードを推測しようとします。辞書攻撃によってパスワードの解読に成功すると、ハッカーはこれを使用して、銀行口座、ソーシャルメディアプロファイル、さらにはパスワードで保護されたファイルなどにアクセスできるようになります。この時点で、攻撃者の被害者にとって現実的な問題となります。
この種のハッキングでは、パスワードを解読するために体系的なアプローチを使用します。これらのハッキングを首尾よく実行するための基本的なステップが3つあり、これらを把握すると、辞書攻撃を防ぐ方法を理解しやすくなります。
パスワードと考えられるリストをまとめるために、攻撃者はしばしば、一般的なペット名、よく目にするポップカルチャーの有名人、または主なスポーツチームやアスリートなどを使用します。その理由は、多くの人々がこの種の単語を使用して、自分にとって意味があり、簡単に覚えることができるパスワードを作成するからです。このリストには通常、これらのバリエーションが含まれます。たとえば、単語のさまざまな組み合わせや特殊文字の追加などです。
自動化されたツールを使用してこのリストを実行すると、辞書攻撃が成功しやすくなります。パスワードのリストと自動化されたツールを合わせて使用することで、パスワードを解読してオンラインアカウントにハッキングする試行時間を大幅に短縮できます。この作業を手動で行うとすると、攻撃には時間がかかりすぎ、攻撃に気付いて防御する時間をアカウントの所有者(またはシステム管理者)に与えてしまいます。
これらの辞書攻撃には多くの場合、その仕組みのため、個別の標的がありません。辞書攻撃は、むしろリスト上のいずれかのパスワードが合っていることを期待して実行されます。ただし、攻撃者が特定の場所または組織を標的にしている場合、より焦点を絞った局地的な単語のリストを作成します。たとえば、攻撃者がスペインで攻撃を実行することを計画している場合、英語の代わりにスペイン語の単語を使用する場合があります。または、特定の組織を標的にしている場合、その企業に関連する単語を使用する場合があります。
辞書攻撃が一種の総当たり攻撃であるとは言え、この2つの間には重要な違いがあります。辞書攻撃では、事前に設定した単語のリストを使用してアカウントのパスワードを解読しようとしますが、総当たり攻撃では、リストを使用せずに代わりに、パスワードを作成するために使用されている可能性がある文字、記号、数字のあらゆるランダムな組み合わせを使用します。このため、たいていは辞書攻撃の方がより効率的で、成功する確率が高くなります。その理由は単純で、試してみる組み合わせの数が少なくなるからです。
アルファベット26文字と1桁台の数字10個(合計36文字)を使用すると、総当たり攻撃が成功するために使用する必要がある考えられる組み合わせの純粋な数は、ほぼ非現実的な数になります。具体的には、総当たり攻撃で10文字のパスワードを解読しようとすると、使用する考えられる英数字のパスワードの数は3,760兆になります。
ただし、総当たり攻撃の利点は、その試行錯誤アプローチを使用して難解な固有のパスワードを解読できる確率が高くなることです。総当たり攻撃ではこのような考えられるパスワードの包括的なリストを使用するため、その攻撃で最終的に、任意のパスワードの文字の適切な組み合わせを解読できる確率が高くなります。
辞書攻撃の概要と仕組みを理解できれば、辞書攻撃の防止に向けて一歩進むことができます。とはいえ、辞書攻撃の防止に真剣に取り組んでいる人にとっては、次のヒントが役に立ちます。
パスワードマネージャーは、アカウントの資格情報を安全に管理し、辞書攻撃の被害に遭う確率を最低限に抑える上で役に立つ手段です。カスペルスキー パスワードマネージャーなどのアプリは、パスワードの安全を確保する上で役に立つ一連のメリットを備えています。パスワードマネージャーを使用する理由を次に示します。
辞書攻撃は、銀行口座、ソーシャルメディアプロファイル、メールを含む個人のアカウントにハッカーがアクセスするために使用する非常に一般的な種類のサイバー犯罪です。ハッカーがアクセス権を獲得すると、金融詐欺から悪意のあるソーシャルメディア投稿、フィッシングなどのその他のサイバー犯罪まで、あらゆる種類の行為を実行できます。ただし、辞書攻撃を防ぐには、これらの攻撃の被害に遭うリスクを最小限に抑えるために一定の防御策を講じる、というシンプルな対策ですみます。たとえば、スマートなパスワード管理習慣を身に付ける、さまざまな種類の認証を採用する、簡単に入手可能なパスワードマネージャーを使用するといった対策すべてが、パスワードとアカウントの安全を確保する上で役に立ちます。
Kaspersky Endpoint Securityは、2021年に企業のエンドポイントセキュリティ製品の最高のパフォーマンス、保護、および使いやすさで3つのAV-TEST 賞を受賞しました。すべてのテストで、Kaspersky Endpoint Securityは企業にとって優れたパフォーマンス、保護、および使いやすさを示しました。
関連記事やリンク
関連製品とサービス