ホーム テクノロジー セキュリティ 非公開: 辞書攻撃: 他の攻撃とどう違うのですか?

辞書攻撃: 他の攻撃とどう違うのですか?


デジタル技術の進歩により、オンラインでのサイバー犯罪が増加しています。辞書攻撃のようなサイバー攻撃は、個人のアイデンティティ、組織、データに対する脅威となっています。

この記事では、辞書攻撃とは何か、他の攻撃との違い、および辞書攻撃を回避する方法について詳しく説明します。

辞書攻撃とは何ですか?

辞書攻撃は、「辞書」と呼ばれる事前定義されたリストの限定されたエントリのサブセットを使用して暗号の暗号化キーを検出し、システムまたはアカウントにアクセスする方法です。したがって、この攻撃は辞書攻撃と呼ばれます。これらの攻撃は通常、電子メール アカウント、Wi-Fi パスワード、弱い暗号化キー、オンライン バンキング アカウントをハッキングします。

辞書攻撃
辞書攻撃

この辞書は、過去のセキュリティ侵害のデータベースからの数千、数百万のエントリで構成されています。辞書攻撃が通常成功するのは、数字、句読点、個人識別番号、似た文字などを追加するなど、過去の侵害データから予測しやすい共通の短いパスワードを多くの人が使用しているためです。

ブルート フォース攻撃の一種としても知られる辞書攻撃は、オンラインでもオフラインでも実行できます。オンライン辞書攻撃では、ハッカーはシステムまたは過去の侵害データ調査によって作成された一般的に使用されるパスワードを悪用します。

オンライン攻撃は迅速でなければなりません。攻撃の続行に時間がかかりすぎると、システム所有者に気付かれる可能性があります。オフライン攻撃では、ハッカーは禁止されることなく、辞書にあるパスワードのリストを複数回試行できます。

辞書攻撃の影響

辞書攻撃は、他のサイバー攻撃と同様に有害です。パスワードの推測が正確であれば、ハッカーはシステム全体またはアカウント全体に簡単にアクセスし、機密データを盗む可能性があります。この不正アクセスは、経済的損失、データ侵害、個人情報の盗難につながる可能性があります。

この攻撃は、ハッカーがシステムに保存されている重要なアプリケーションの他のアカウントにアクセスするためのより多くの権限を取得するため、組織にいくつかの損失をもたらす可能性があります。辞書攻撃は、データを保護できないため、利害関係者や顧客からの風評被害や信頼の喪失につながる可能性があります。

サイバー攻撃者はシステム所有者の個人データにアクセスすることもでき、それが有害になる可能性があります。したがって、1 つの辞書攻撃がさらに多くの辞書攻撃やデータ侵害につながります。セキュリティ対策の強化と経済的損失により、辞書攻撃は会社の予算にも影響を与えます。

攻撃者がシステムを完全に制御した場合、組織は重大な損失を被ります。この攻撃は、財務上の損失、ダウンタイム、生産性の損失、およびデータ侵害による法的措置につながる可能性があります。

辞書攻撃はどのように機能しますか?

辞書攻撃がどのように起こるかを理解してみましょう。

ステップ 1 : サイバー攻撃者はさまざまな方法で辞書攻撃を実行します。一般的に使用される最適化されたパスワードのリストのみを使用する人もいれば、辞書全体をチェックする人もいます。

サイバーハッカーは、過去に侵害されたデータベース、漏洩したパスワード、事前に想定されたフレーズのライブラリなど、さまざまなソースから一般的に使用されるパスワードを収集します。たとえば、pass1234 や p1234 などの一般的なパスワードを使用できます。

ハッカーはまた、過去に侵害されたデータから、ライフスタイルや人口統計に基づいたエントリを辞書から検索します。たとえば、サッカー愛好家の多くは「messi123」や「foot1234ball」などのパスワードを使用していました。この辞書には、何千、何百万もの項目が含まれている可能性があります。

目の前に 2 つのモニターがある机に座っている男性。
目の前に 2 つのモニターがある机に座っている男性。

ステップ 2 : パスワードの辞書を作成した後、ハッカーは侵入したいターゲット システムを見つけようとします。これらのターゲット システムには、電子メール、ソーシャル メディア、Web サイトのユーザー アカウント、またはアプリケーションが含まれます。

ステップ 3 : パスワードの辞書とターゲット システムの準備ができたら、攻撃者は各パスワードをターゲット システムのユーザー ID と照合しようとします。

ステップ 4 : サイバー攻撃者は、そのような攻撃のために自動化された堅牢なソフトウェアまたはコンピューティング設定を使用します。パスワードが一致しない場合、正しいパスワードがユーザー ID と一致するまで、この手順がすべてのパスワードに対して続行されます。

通常、辞書攻撃は、パスワードが弱く、推測しやすい場合に成功します。さらに、ハッカーは同じシステム内の同様のパスワードを使用して他のいくつかのアカウントにアクセスする可能性があります。ハッカーが賢いプレイヤーであれば、このプロセスは非常に短時間で完了します。

辞書攻撃とブルートフォース攻撃

 辞書攻撃はブルートフォース攻撃に似ています。辞書攻撃では、攻撃者は辞書から使用できるすべての単語を推測します。ハッカーはパスワードのすべての文字を推測するわけではないため、これらの攻撃は高速です。

ブルート フォース攻撃では、パスワード辞書にある文字のあらゆる組み合わせが試行されます。このような攻撃は通常、時間がかかり、計算量が多くなります。

辞書攻撃とパスワードスプレー

パスワード スプレーは辞書攻撃の一部です。この攻撃の唯一の違いは、すべてのユーザー ID に同じパスワードを使用することです。このようにして、ハッカーは限られた数のパスワードで複数のアカウントを使用しようとします。この攻撃の成功率は、辞書攻撃やブルートフォース攻撃よりも低くなります。この手法は、パスワードが弱いアカウントに対して効果的です。

辞書攻撃 vs レインボーテーブル攻撃

レインボーテーブル攻撃は辞書攻撃とは少し異なります。サイバーハッカーは、ターゲットのパスワードのハッシュ値とレインボーテーブルに保存されているハッシュ値を比較します。このハッシュ値に従って、ハッカーチームはパスワードを照合して取得しようとします。辞書攻撃では、ハッカーは辞書内のすべての文字列を使用してパスワードを照合します。


これらの攻撃は、事前定義されたリストのすべてのパスワードを使用するのではなく、事前に計算されたテーブルでハッシュ値を検索するため、迅速に実行されます。パスワードをソルティングする、つまりハッシュ化する前に各パスワードにランダム データを追加すると、レインボー テーブル攻撃の可能性を減らすことができます。

辞書攻撃の実例

LinkedIn侵害

LinkedIn Web サイトは、2012 年に深刻なデータ侵害に見舞われました。この Web サイトは、パスワード保存用のソルトなしの SHA-1 ハッシュと脆弱なセキュリティ慣行が原因で、1 億 6,000 万件のユーザー資格情報を暴露する辞書攻撃の被害に遭いました。

アシュリー・マディソンのハック

出会い系サイトのアシュリー マディソンは、2015 年に物議を醸したデータ侵害に見舞われました。この辞書攻撃では、攻撃者はこのサイトを使用している人々のハッシュ化されたパスワード、個人情報、支払い詳細をハッキングしました。この侵害は、脆弱なセキュリティ対策が原因で発生しました。

Dropbox の侵害

Dropbox のクラウド ストレージも大規模な辞書攻撃を受け、6,800 万件のハッシュ化されたパスワードと電子メール アドレスがハッキングされました。この辞書攻撃は、脆弱なパスワードが原因で発生しました。

Adobe のハック

非常に有名な Adob​​e も、 2013 年に物議を醸した辞書攻撃の被害に遭いました。この侵害により、3,800 万人のユーザーの機密データが流出しました。このデータには、暗号化されたパスワードとクレジット カード情報が含まれていました。この辞書攻撃は、暗号化方式が脆弱だったことが原因で発生しました。

「セキュリティ」という文字が書かれたラップトップを使用している男性。
「セキュリティ」という文字が書かれたラップトップを使用している男性。

辞書攻撃を軽減する方法

上で述べた実際の例は、辞書攻撃を軽減するには、安全なネットワークと強力な暗号化が不可欠であることを思い出させます。

  • 2 要素認証(2FA): 2 要素認証方法は、悪意のある攻撃からアカウントを保護する最良の方法です。この方法では、ユーザーがアカウントにサインインすると、Web サイトはアカウント確認のために SMS 経由でアカウント所有者の電話番号に 2 回目の OTP を送信します。正しい OTP 番号を入力した場合にのみアカウントにアクセスできます。 2 要素認証は、ソーシャル メディア プラットフォームを保護する最も安全な方法でもあります。
  • 強力なパスワード: ユニークで複雑なパスワードを選択します。大文字と小文字の組み合わせを特殊文字と統合します。また、パスワードに繰り返しの数字、一連の数字、または自分の名前を含む、推測されやすいパスワードの使用を避けることもできます。
  • パスワード マネージャー:パスワード マネージャーを使用すると、アカウントごとに一意で強力なパスワードを生成できます。パスワード マネージャーを使用すると、さまざまなアカウントのパスワードを記憶する負担が軽減されます。
  • 定期的に更新する: アプリ、ソフトウェア、オペレーティング システムを定期的に更新してください。サイバー攻撃者は、古いソフトウェアの既知の脆弱性を悪用することがよくあります。
  • アカウント ロックアウト ポリシー:アカウント ロックアウトでは、署名試行が特定の回数失敗すると、アカウントが一時的にロックされます。このポリシーはアカウントを保護し、サイバー攻撃者が自動ソフトウェアを使用して辞書攻撃を行うのを防ぎます。
  • キャプチャを使用する:アカウントにアクセスするときに Web サイトでキャプチャを使用すると、自動ボットと人間のアクティビティを区別するのに役立ちます。
  • Web アプリケーション ファイアウォール (WAF): Web アプリケーション ファイアウォールを導入すると、システムへの悪意のあるトラフィックをブロックできます。 WAF は辞書攻撃も防ぎます。
  • ネットワーク セグメンテーション:機密性の高いサイトからのネットワーク アクセスをセグメント化して制限します。この手順により、システムを悪意のある攻撃から保護します。
  • セキュリティ監査と侵入技術:侵入技術とセキュリティ監査を定期的に実施することで、ネットワークとソフトウェアの脆弱性と弱点を解決できます。
  • 行動分析ツールを実装する:行動分析ツールを実装すると、異常なログイン アクティビティを検出できます。
  • 侵入検知および防御システム (IDPS):多数 IDPS ツールは、ネットワーク トラフィック、不審なログイン試行とパターンの検出に役立ちます。
  • 定期的なパスワード変更:パスワードを定期的に変更すると、サイバー攻撃のリスクが軽減されます。
  • 新しいテクノロジーの導入:多くの企業は、パスワードレスまたは OTP ログイン、オープン認証 (OAuth)、または安全なアクセスのためにログインするためのリンクをメールで送信するなど、新しいソフトウェアやテクノロジーを導入しています。
  • Google パスワード マネージャーは、さまざまなアカウントのすべてのパスワードを安全に保存します。強力なパスワードのアイデアも提供します。たとえば、Google パスワード マネージャーは、アカウントに固有のパスワードを保存するためのアイデアを提供します。 abc.com Web サイトの場合、Google パスワード マネージャーは、大文字と小文字、特殊文字、および「6exRa$c57GUjas2」のような数字を組み合わせた強力な長さのパスワードを提案します。これらのパスワード生成のアイデアは、辞書攻撃からアカウントを保護します。
  • 1Password は、パスワードやクレジット カード情報などのその他の機密データのストレージを確保するなど、強力なセキュリティ対策を提供します。
  • LastPassは強力なパスワード マネージャーです。この Web サイトは、パスワードの生成、安全なストレージ、デバイスの同期サービスを提供します。多要素認証をサポートしています。
  • Dashlane は、パスワード セキュリティ ストレージ、パスワード生成、デジタル ウォレット ストレージを提供します。また、パスワードを定期的に更新することも提案されます。
  • Keeperは、パスワード管理、暗号化されたメッセージング、ダークウェブ監視、デジタル ファイル ストレージを提供する暗号化およびセキュリティ ソフトウェアです。

辞書攻撃の被害者になった場合の対処方法

  • ビーチアカウントを特定し、不審なアクティビティを監視します。電子メール、ソーシャル メディア、その他のプラットフォームなどのオンライン アカウントをすべて確認してください。
  • パスワードをすぐに変更し、多要素認証または二要素認証を追加してセキュリティを強化してください。
  • 悪意のある行為を直ちにカスタマーケアに報告してください。追加のセキュリティ対策についてもお問い合わせください。
  • 常に警戒し、アカウントを監視し、アプリケーションとソフトウェアを定期的に更新してください。

結論

テクノロジーが進化するにつれて、コードを解読するサイバー攻撃者の戦術も進化します。したがって、私たちのオンライン活動をより認識し、ベストプラクティスを実践することで、辞書攻撃を簡単に阻止し、デジタル資産を保護することができます。詳細については、初心者向けのサイバーセキュリティの基本をいくつか紹介します。

「辞書攻撃: 他の攻撃とどう違うのですか?」についてわかりやすく解説!絶対に観るべきベスト2動画

【技術的脅威】サイバー攻撃の種類 パスワードクラック編 – 辞書攻撃・総当たり攻撃・パスワードリスト攻撃 – 見るだけで受かるITパスポート講座【情報セキュリティ】
総当たり攻撃と辞書攻撃をHashcatを使ってパスワード解析をする