不正アクセスを目的としたパスワードを盗む攻撃
情報漏洩などのリスクを評価するときに、その脅威がどこからくるものかで大きく3つにわけられます。
・人的脅威は、人によるもの
・物理的脅威は、災害や故障などによるもの
・技術的脅威は、PCの不正アクセスやウイルスなどによるもの
今回は技術的脅威についてみてみたいと思います。
増える不正アクセス
技術的脅威は、PCの不正アクセスやウイルスなどによるものです。以下のように、2013年以降、不正アクセスは増えています。なかでも業種では情報通信業が多くなっています。
この脅威は、PCの不正アクセスやウイルスなどによる不正侵入が、きっかけとなるケースがほとんどです。不正侵入をさせないために以下のように正しいパスワード管理が必要です。
・ID/パスワードを共用させない
・IDごとにパスワード設定
・類推しにくいパスワード
・パスワードの定期的変更
あなたのパスワードは大丈夫?~インターネットサービスの不正ログイン対策~ IPA
パスワードクラッキングの手法
パスワードクラッキングは、サイバー犯罪の攻撃奪取段階での攻撃です。これは攻撃対象のアカウントの権限を盗むことです。パスワードを盗む攻撃の代表的なものに、ブルートフォース攻撃、リバースブルートフォース攻撃、辞書攻撃やパスワードリスト攻撃があります。以下の動画でそれぞれの説明と対策が説明されています。
総当たり(ブルートフォース)攻撃
ブルートフォース(brute force)攻撃は、パスワードになりえるパスワードをすべて試してヒットするまで試す手法です。ブルートとは、ポパイにでてくるブルートのように「暴力的」という意味があります。ブルートフォースは、時間がかかる反面、確実にパスワードをクラックすることができます。
辞書攻撃
辞書攻撃はパスワードになりうる辞書を用いてパスワードを発見する手法。以下の動画ではちょっと専門的ですが、rockyou.txtと呼ばれる辞書を使っています。これは某ソーシャルゲームから漏洩したデータ3200万件から作成されたもののようです。
リバースブルートフォース攻撃
ひとつのアカウントに対して何度もログインしようとするとロックがかかってしまいます。そこでパスワードをもとにIDをかえて試していくのをリバースブルートフォース攻撃といいます。以下の動画では、ブルートフォース攻撃とリバースブルート攻撃の解説をしています。
パスワードリスト攻撃
パスワードリスト攻撃は、過去に流出したユーザIDとパスワードの組み合わせを利用してユーザIDとパスワードを特定する攻撃です。パスワードの使い回しを利用した攻撃です。
スニッフィング
スニッフィング(sniffing)の原義は「においをかぐこと」ですが、ネットワークを流れるデータを捕らえ、内容を解析して盗み見ることです。パケットキャプチャ(packet capture)して解析します。
暗号化されずに流れているデータは、すべて見ることができ、ユーザー名やパスワード、場合によっては個人情報やクレジットカード番号、メールなどの個人的なメッセージのやり取りなどを本人に気づかれずに読み取ることができるというものです。
オフライン攻撃
オンライン攻撃が、動作中のサービスに認証情報を送って調査するのに対して、オフライン攻撃は、パスワード・ファイル、あるいはパスワードがかけられているファイルを入手して攻撃者のコンピュータにそのファイルを移してパスワード破りを試みる手法のことです。
攻撃にもさまざまな手法がありますが、自分でできる対策もたくさんあります。わかりやすいパスワードを使ったり、使いまわしたりしないように気をつけることが大事です。