辞書攻撃は辞書に記載されている単語を片っ端から試して、パスワードを見つけ出す攻撃手法です。
覚えやすくするため、パスワードに好きな人物名や食べ物の名前を入れていませんか?
企業なら主な業務名や企業理念をパスワードに使う場合もあるでしょう。
その心理を利用した攻撃が辞書攻撃です。
辞書攻撃は年々増加しており、誰でも攻撃できるツールも公開されています。
辞書攻撃で不正ログインされないようにするには、ランダムな文字列をパスワードに指定するのが一番です。
辞書攻撃とは何か、パスワードを利用した他の攻撃との違い、過去の事例や対策についてご紹介します。
目次[開く]
辞書攻撃とは?
辞書攻撃とはパスワードやメールアドレスなどの文字列を割り出すため、辞書に記載されている単語を片っ端から組み合わせて試す攻撃手法です。
例えばケーキ屋さんは「cakepresent」、建築会社は「buildingsupport」がパスワードだとします。
お店や会社にちなんだ単語を入れがちですが、このようなパスワードは辞書攻撃で突破されやすいので控えた方がいいでしょう。
単語だけではなく規則性のある文字列も危険です。
セキュリティ会社「NordPass」の調査によれば、2020年にサイバー犯罪者に破られ不正ログインされたパスワードには、以下が多かったとの結果が出ています。
- 123456
- 123456789
- picture1
- password
- 12345678
数字やアルファベットを順番に並べただけの文字列や、初期パスワードのままの文字列は非常に危険です。
同じパスワードを他サイトでも使い回していませんか?
使っています・・・。もしどこかのサイトでパスワードが突破されたら、他のサイトでも不正ログインされる危険性が高いってことですよね・・・。
ブルートフォース攻撃・パスワードリスト攻撃との違い
【ブルートフォース攻撃】
英字の大文字と小文字・数字を、1文字ずつ組み合わせる攻撃手口。
例えば3桁の0〜9の数字を入力する暗証番号なら、10 × 10 × 10 =1,000通りの組み合わせを試すわけです。
【パスワードリスト攻撃】
あらかじめ違法な手段で入手したログイン情報を使用し、持ち主になりすます。
ログイン画面から堂々とログインするため、不正ログインだと検知しづらい攻撃です。
パスワードを悪用した攻撃には他にも種類があります。
「パスワードスプレー攻撃とは?種類や手口・万全な対策法を解説!」にわかりやすくまとめていますので、ぜひご覧ください。
辞書攻撃の被害に遭った過去の事例
辞書攻撃による過去に起きた事例を2つご紹介します。
どちらも身の回りで起きた出来事です。
SNSに不正アクセスされ画像が流出
ある女性が新しくSNSを始めようとアカウントを作成し、覚えやすいようパスワードに好きな言葉を設定しました。
ある日SNSサポートから「たった今、アカウントのログインを確認しました。」とメールが届きます。
しかし女性には身に覚えがありません。
辞書攻撃によりパスワードがバレて、不正アクセスされたのです。
後日SNS上で繋がる友人たちへ知らない人から友達申請があり、女性が保存する画像が大量に送られました。
メールアカウントが乗っ取られスパムメールの送信元に
仕事で利用するメールソフトのパスワードを変更するよう、お知らせが来ました。
2ヶ月に1回は変更しなければならず、面倒なので「password2021」にします。
すると仕事の関係者や取引先から、自身のアドレスが送信元のスパムメールが大量に送られてくると連絡が入りました。
メールアカウントが辞書攻撃によって乗っ取られ、スパムメールの送信元にされたのです。
仕事の顧客や取引先を巻き込んだ場合、会社の信用を失います。すぐに分かるようなパスワードは設定しないでくださいね。
辞書攻撃に効果的な対策4選
辞書攻撃で不正アクセスされないためには、きちんと対策しましょう。
1つ目の対策法はサイトの利用者側でも運営者側でもできます。
規則性を持たない文字列に設定
パスワードは「規則性を持たない文字列」に設定しましょう。
表1-1: 使用できる文字数と入力桁数によるパスワードの最大解読時間
使用する文字の種類 | 使用できる 文字数 |
最大解読時間 | |||
入力桁数 | |||||
4桁 | 6桁 | 8桁 | 10桁 | ||
英字(大文字、小文字区別無) | 26 | 約3秒 | 約37分 | 約17日 | 約32年 |
英字(大文字、小文字区別有)+数字 | 62 | 約2分 | 約5日 | 約50年 | 約20万年 |
英字(大文字、小文字区別有)+数字+記号 | 93 | 約9分 | 約54日 | 約1千年 | 約1千万年 |
コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について:IPA 独立行政法人 情報処理推進機構より引用
上の表からもわかるように、パスワードの設定でよく利用される「8桁の英字(大文字・小文字区別有)・数字」のランダムな組み合わせなら、パスワードを暴くまでに約50年はかかります。
これはほぼ破られないことを意味するので、英字の大文字と小文字と数字が使用できる場合は必ず3つとも使用しましょう。
「規則性を持たない文字列」なので単語は入れてはいけません。
ランダムなパスワードを決めるおすすめの方法は、ツールを使うことです。
「パスワード 作成」で検索すれば、ランダムな文字列のパスワードを無料で簡単に作成できるツールがありますので、それを使いパスワードを決めましょう。
画像認証の導入
引用元:Help Center
辞書攻撃は主にコンピュータが自動で単語を組み合わせ、ログイン画面に入力します。
そのため「画像認証」を導入し、コンピュータがログインできない仕様にしましょう。
見たことあります!これはコンピュータには判断できないのですか?
できません。コンピュータはあくまで同じ作業を繰り返すことに特化しているので、判断することは苦手なのです。
アカウントのロック
辞書攻撃は辞書に記載された単語を片っ端から組み合わせて、ログインを試みます。
そのためパスワードを複数回間違えたらアカウントにロックがかかるように設定し、不正アクセスを防ぎましょう。
アカウントにロックがかかったあと、数時間経たなければ再びログインできなくするのが望ましいです。
アクセスログの監視
「アクセスログ」の監視も不正アクセスの早期発見に役立ちます。
いつ誰がソフトやサービスにログインしたか、記録を残せるのが「アクセスログ」です。
まず平常時のアクセスログを把握。
正常時と比較し、異常なログがないか確認。
異常な数のログイン試行や許可していないパソコンからのアクセスを発見した場合、アカウントにロックをかけるなどの対策をします。
辞書攻撃の対策におすすめのセキュリティ対策商品
辞書攻撃はランダムな文字列を組み合わせたパスワードを設定すれば、ある程度防げます。
そのため優れた技術が濃縮されたセキュリティ対策商品を導入するのがおすすめです。
「パスワードマネージャー」でパスワードを徹底管理・自動入力
パスワードを複雑に!使い回さない!しっかり管理!
わかってはいますが、これらは非常に面倒です。
そんなときは「トレンドマイクロ パスワードマネージャー」がおすすめです。
【パスワードマネージャーの機能】
・「パスワード生成ツール」で強固なパスワードを自動で生成
・ID / パスワードをクラウド上で管理し、どの端末からでも確認可能
・利用者の個人情報がダークウェブに流れていないか確認
・すでにダークウェブに流れてしまった個人情報を探し、変更すべきログイン情報をアラートで通知
・ログイン時IDとパスワードを自動で入力
ログインするときはいつもメモソフトやメモ帳アプリから、IDとパスワードをコピペしていました。
「パスワードマネージャー」が自動で入力してくれるので、その作業も不要になりますよ。
パスワードに関する「やらなきゃいけないけど面倒臭い」を全て解決してくれるのが、「トレンドマイクロ パスワードマネージャー」です。
「Cyber Box Pro」で企業のセキュリティをオールカバー
パスワードが万が一漏れても対策をとっておくと、さらに安心です。
そこでおすすめなのが、許可していない人の立ち入りをブロックしてくれる「Cyber Box Pro」。
【「Cyber Box Pro」の心強い機能】
・多くの企業が採用しているウイルス対策ソフト「ESET」が含まれている
・「ESET」と「Cyber Box Pro」2つの機能がウイルスを検知
・IDS(不正侵入検知システム)機能付き
・外部からの遠隔操作を全てブロック
・社内ネットワークや社員専用サイトへの不正アクセスを監視
・当製品1台だけで役員のPCおよび社員全員のセキュリティ管理が可能
・複数の拠点の操作ログを一度に監視・管理
さまざまなサイバー攻撃に対しそれぞれ対策すると、高額な費用がかかります。
その点「Cyber Box Pro」はあらゆるサイバー攻撃をブロックしてくれるオールインワンパッケージなので、たった1台で済むのです。
まとめ
辞書攻撃は辞書に記載された単語を片っ端から試し、パスワードを見つける攻撃手法です。
新しく購入したソフトやサービスにログインするとき、初期パスワードのまま変更しないのは非常に危険です。
実際に不正アクセスされたアカウントのほとんどが、初期パスワードのままだったと調査会社が発表しています。
パスワードを設定する際、規則性を持たない文字列で設定すれば辞書攻撃に遭うことはなくなるといえるでしょう。
しかし複雑なパスワードは覚えられないうえ、忘れたときに面倒です。
パスワードを管理し漏洩させないよう、ツールを活用しましょう。