2021/2/18 「HTML&CSS辞典」をオープンしました! 是非、ご覧になってください!

[必見!] パスワードクラッキングとは 種類や対策も分かりやすく解説します!

昨今、パスワードの抜き出し、Webサイトの改ざん、個人情報の流出といった被害が増えており、サイバー攻撃者は高度かつ様々な方法で不正アクセスを試みようとします。

サイバー攻撃者はWebサービスでユーザーが登録したパスワードや企業サイトを構築するCMSのパスワードを総当たり攻撃、辞書攻撃、リバースブルートフォース攻撃などさまざまな手段を使い解読をし不正アクセスを試みます。

今回は不正アクセスの一部であるパスワードクラッキングとは何かをご紹介します。

これらの特徴を知ることでWebシステムのセキュリティ対策に生かすことができます。

それではパスワードクラッキングについて見ていきましょう。

パスワードクラッキングとはどのような攻撃なのでしょうか?

パスワードクラッキングとは他のユーザーが設定したパスワードを抜き出す攻撃のことです。

抜き出したパスワードで本人に成りすましてアクセスし、不正に操作します。

パスワードクラッキングが行われる背景の一つとして、利用者のパスワード管理が甘いことが挙げられます。

パスワードに推測されやすいワード(名前・誕生日・地名)の使用、同じパスワードの使いまわし等、パスワードの管理意識が低い利用者ほど、被害も大きくなっています。

パスワードクラッキングの対象はWordPressなどのCMSツール、SNS、ECサイト、ブログなどのパスワードを使いログインするサービスのすべてとなります。

最近、多くのWebサービスでパスワード認証が利用されていますが、悪意を持った第三者に不正アクセスされ、被害にあうケースが増えてきています。

今後更にあらゆるWebサービスが増えていくことが予測されるので、パスワードクラッキングの種類、パスワードクラッキングへの対策をしっかりと理解する必要があります。




2.パスワードクラッキングの種類

パスワードを抜き出し、本人に成りすまして不正ログインする方法は様々です。

ここではパスワードクラッキングの種類を解説していきます。

総当たり攻撃

総当たり攻撃とは、パスワードで記号、英数字をすべて使用し、あらゆるパターンを入力し、解読する方法です。

総当たり攻撃は時間制約を設けなければ、確実にパスワードを解読できます。

パスワードの桁数が少ない、文字の種類が少ない等の脆弱性がある場合、解読時間が短くなります。

近年、コンピューターの性能が高くなってきているので、パスワード解読時間が短くなってきています。

総当たり攻撃の対策としてパスワードの文字数を増やす、数字や英語などすべての文字を混在させるなどといった方法をとるといいでしょう。

辞書攻撃

辞書攻撃とは、利用している可能性があるパスワード一覧を使用して、解読する方法です。

最近ではパスワードの文字数(8文字~32文字)が長く設定されているため、上記でご紹介した総当たり攻撃は効率が悪くなってしまっています。

そこでサイバー攻撃者が考案したのが、辞書攻撃というものです。

辞書攻撃は総当たり攻撃と比較して、効率的にパスワードを解読でき、解読時間が短いです。

パスワードが名前、誕生日、地名等、分かりやすいパスワードの場合、パスワードを解読されやすいです。

辞書攻撃の対策として、パスワードの入力を連続して失敗するとロックがかかるアカウントロックが有効となります。

ただし、正規のユーザーがパスワードを忘れて何回かログインしようとした場合、ロックがかかってしまう可能性があるため、ある程度回数を多く設定する必要があります。

パスワードリスト攻撃

パスワードリスト攻撃は別の手段で事前に入手したIDとパスワードの組み合わせで不正ログインを試みる方法です。

複数のサービスで同じIDとパスワードを使いまわしたり、推測されやすいIDやパスワードを使用すると攻撃を受けるリスクが高まります。

パスワードリスト攻撃の対策としてユーザーに他社ログインパスワードを使いまわさないように注意喚起するという方法が最も有効となります。

リバースブルートフォース攻撃

リバースブルートフォース攻撃とは、パスワードを固定して、IDを解読する方法です。

そのため、リバースブルートフォース攻撃は一つのアカウントに対し1回しか仕掛けないため、アカウントロックという方法は使用することができません。

IDはパスワードと比較して、名前等を使用している場合があるので、比較的解読されやすい傾向にあります。

リバースブルートフォース攻撃の対策として強度を確認するパスワードチェッカーを導入することが有効となります。




3.パスワードクラッキングの対策方法

パスワードクラッキングの種類を見てきましたが、IDやパスワードを簡単に解読されないようにするためにどのような対策を講じるとよろしいのでしょうか。

Webシステムの運営者側と利用者側の視点でパスワードクラッキングの対策を見ていきましょう。

運営者側視点

アカウントロックを設定する

アカウントロックとはIDやパスワードを入力するWebシステムで一定回数続けてログインに失敗した場合、ログインを不可能にする設定のことです。

アカウントロックを設定する方法は総当たり攻撃に有効です。

一方、リバースブルートフォース攻撃はIDを変更してパスワードを試すことができるので、あまり効果がありません。

パスワード強化チェッカー

パスワード強化チェッカーとはパスワードの桁数、英数字、記号等の組み合わせからパスワードの安全性を測るツールです。

パスワード強化チェッカーを導入することで簡単に解読されにくいパスワードをユーザーに使用してもらえるでしょう。

多要素認証・多段階認証を実装する

従来はログイン認証のみということが多く、IDやパスワードを解析しやすく不正アクセスが増加傾向にありました。

そこでログイン認証を更に強化するために多要素認証・多段階認証を実装することでサイバー攻撃を防ぐことができます。

ログイン試行を監視する

パスワードクラッキングの特徴として、特定のIPアドレスから大量のログイン試行、存在しないIDへのログイン試行等が挙げられます。

このようなログイン試行を監視し、不正なログイン試行を発見した場合、IPアドレスをもとに通信を遮断するなど適切な対処を行うことでサイバー攻撃の被害を防ぐことが可能です。

2段階認証を利用する

ワンタイムパスワードやトークンを用いた2段階認証によるセキュリティ強化も有用です。

仮にリスト攻撃による不正ログインが確認されても、被害の発生を抑制することができます。

利用者視点

同じパスワードを使いまわさない

同じパスワードを利用しているユーザーのパスワードが流出した場合、辞書攻撃によって、他のWebサービスまで被害を及ぼします。

異なるパスワードを管理するのは大変ですが、同じパスワードを利用しないようにすると辞書攻撃の被害を防ぐことができます。

パスワードに意味を持たせず、長く設定する

名前、誕生日等、パスワードに意味を持たせたり、パスワードが短ったりすると、パスワードを解析しやすくなります。

英数字、記号等を使用してパターンを増やすと、パスワードの解析時間が増え、パスワードクラッキングが困難になります。

OSやセキュリティソフトを最新の状態に保つ

OSやセキュリティソフトを最新の状態に保つことでパスワードが漏洩することを防ぐことができます。




4.ポイント

ポイント
  • パスワードクラッキングとは他のユーザーが設定したパスワードを抜き出す攻撃のことです
  • パスワードを解読されにくくするために、アカウントロックの設定、パスワード強化チェッカーの導入、同じパスワードを使用しない、パスワードを長くするなどの対策を講じる必要があります

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です