8種類のパスワード攻撃

パスワードの盗難、脆弱性、再利用は、ハッキングに関わる情報侵害の主な原因であり、ITリソースへの不正アクセスを受ける要因となります。ダークウェブでは何十億件もの認証情報が取引されており、サイバー犯罪者は漏洩したパスワードを苦労せずに見つけることができます。ハッカーは最大限の投資利益を確保するために簡単にアクセスする方法を求めており、パスワードのセキュリティを強化することはハッカーが乗り越えなければならない障害を増やすことを意味します。

以下では、さまざまな種類のパスワード攻撃と、セキュリティのベストプラクティスに従ってリスクを軽減する方法について説明します。

ブルートフォースアタック

ブルートフォースアタックは、ハッカーが当てずっぽうに何度もアクセスを試行するパスワード攻撃です。シンプルな攻撃であり、ソフトウェアなどを使って自動で複数の文字と数字の組み合わせを試す手法が用いられる場合が多いです。

考え得る膨大な数のパスワードを試すには長い時間がかかるため、攻撃者は効率を追求しなければなりません。可能性のある組み合わせをリスト化する際には、多くの場合、よくあるパスワードや短いパスワードなどの簡単な選択肢から始めます。特定のプロバイダのパスワード要件（最小文字数など）を把握している場合、攻撃者はその基準も反映します。

キーロガー攻撃

キーロガーとは、キーボード操作を記録することによってユーザーのアクティビティを記録するスパイウェアです。サイバー犯罪者は、キーロガーを利用し、パスワードやクレジットカード番号などのさまざまな機密データを盗みます。パスワードの窃取を目的とする場合、キーロガーはユーザー名とパスワードだけでなく、その認証情報が使用されるウェブサイトやアプリ、その他の機密情報も記録します。

キーロガーは、ハードウェアであることも、ソフトウェアであることもあり得ます。デバイスにハードウェアを組み込むのは手間がかかるため、攻撃者はユーザーが悪意のあるリンクや添付ファイルをクリックするよう仕向け、コンピューターやデバイスにマルウェアをインストールする場合が多いです。また、ユーザーが第三者サイトからダウンロードするソフトウェア（無料アプリなど）にキーロガーを忍び込ませることもあります。

辞書攻撃

辞書攻撃は、ブルートフォースアタックの一種であり、よく使われるパスワードだけでなく、一般的に使用される単語やフレーズのリストに基づいて行われます。考え得る大量のパスワードを試行せずに済むよう、攻撃者は辞書に掲載されるような一般的な単語にリストを絞り込みます。

その単語には、実際に辞書に掲載されている言葉だけでなく、よくあるペットの名前、映画の登場人物名、人名なども含まれます。また、ハッカーは文字に数字や特殊文字を加え（アルファベットの「O」を数字の「0」に置き換えるなど）、バリエーションを増やします。

クレデンシャルスタッフィング

クレデンシャルスタッフィングは、攻撃者が試行錯誤を繰り返してアクセスを試みるブルートフォースアタックに似ていますが、パスワードを推測するのではなく、盗んだ認証情報を使用します。多くの人が同じパスワードをさまざまなプラットフォームの複数のアカウントに再利用していることを前提とした手法です。

長い年月の間にウェブサイトやクラウドベースのサービスで数え切れないほど多くの侵害が発生し、大量の認証情報が漏洩しました。大手プロバイダがたった1回侵害を受けるだけで、何百万ものアカウントに被害が及び、サイバー犯罪者によってダークウェブで認証情報が販売、貸与、譲渡されてしまいます。

攻撃者はクレデンシャルスタッフィングによって、盗んだパスワードがまだ有効であることや他のプラットフォームでも使えることを確認します。ブルートフォースアタックと同じように、自動ツールを使用するとクレデンシャルスタッフィングは驚くほど成功します。

中間者攻撃

中間者攻撃は、ユーザー、攻撃者、ユーザーが通信を行おうとしている第三者が関与します。パスワードの窃取を目的とする場合、サイバー犯罪者はフィッシングメールを使用して本物の第三者になりすますことが多いです。

メールは本物そっくりで、第三者のメールアドレスを模しているため、事情に精通しているユーザーでも欺かれる可能性があります。攻撃者は本物そっくりの偽のウェブサイトへのリンクをクリックするよう受信者を誘導し、ログインの際に認証情報を窃取します。

トラフィック傍受

トラフィック傍受は中間者攻撃の一種であり、攻撃者がネットワークトラフィックを傍受してデータを監視、窃取します。一般的には、セキュリティが不十分なWi-Fi接続や暗号化を行っていない接続（HTTPなど）を利用して行われます。

SSLトラフィックでさえ被害にあいやすく、たとえばハッカーはSSLハイジャックと呼ばれる攻撃の中で中間者攻撃の手法を用います。SSLハイジャックとは、安全なウェブサイトに接続しようとしたユーザーとそのウェブサイトとの間に攻撃者が一種のブリッジを作成し、両者の間で受け渡しされるあらゆる情報（パスワードなど）を傍受するサイバー攻撃です。

フィッシング

フィッシングは汎用的な攻撃手法です。サイバー犯罪者が用いるフィッシングやソーシャルエンジニアリングの手口はさまざまであり、たとえば中間者攻撃（上記参照）のためのフィッシングメールや、スピアフィッシングとビッシングの併用（音声通話と認証情報を窃取する悪意のあるサイトへのリンクを組み合わせた多段階パスワード攻撃）があります。後者は社員のVPN認証情報を狙った攻撃に利用されています。

フィッシング攻撃は一般的に、ユーザーの切迫感を生み出します。そのため多くの場合、フィッシング・メールには、アカウントへの偽の請求、サービスの失効、ITまたは人事の問題など、ユーザーの注意を引く可能性の高い内容が記載されています。

パスワードスプレー攻撃

パスワードスプレー攻撃は、少数または1つのユーザーアカウントに対して大量のよくあるパスワードを試行する、ブルートフォースアタックの一種です。

攻撃者はパスワードスプレー攻撃を行う際、あらゆる手を尽くして検知を回避しようとします。通常は初めに予備調査を行い、アカウントロックを防ぐためにログイン試行回数を抑えます。

攻撃を防ぐ方法

パスワード攻撃を防ぐ最善の方法は、パスワード衛生と管理のベストプラクティスを取り入れることです。セキュリティ体制が脆弱でハッキングされやすい環境は、隙あらばつけこむサイバー犯罪者にとって極めて魅力的です。パスワードのセキュリティを強化することで、情報侵害を防ぐ力が大幅に向上します。パスワードに関するベストプラクティスには、次のようなものがあります。

• ウェブサイトやアカウントごとに長くて複雑な固有のパスワードを使用することを求める
• 可能な場合は必ず多要素認証（MFA）を導入する
• パスワードマネージャーを利用してパスワード管理を簡略化し、ストレージのセキュリティを確保する

また、ITチームは特権アカウントへのアクセスを制限し、セキュリティレイヤーを追加しなければなりません。もちろん全社員やそれ以外の関係者にパスワードのセキュリティに関する教育を行うことも、有効な予防手段です。セキュリティ侵害の常態化が進む中、会社にも社員にも自社のセキュリティ体制を維持する上で果たすべき重要な役割があるのです。

パスワード管理ソリューション

ハッカーがより先進的なツールや自動化を取り入れるようになるにつれて、攻撃がますます高度になってきています。堅牢なパスワード管理プログラムの導入は、セキュリティのベストプラクティスであるだけでなく、IT管理者や従業員によるパスワード管理を簡略化し、業務を行いやすくしながら組織へのリスクを軽減するために効果的です。SailPointは、企業が現在と未来のセキュリティニーズを満たす適切なソリューションを見つけるサポートをします。