日商 Assist Biz

更新

企業を襲うサイバー脅威 パスワード解読①

パスワード解読(辞書攻撃)

今月から2回にわたり、「パスワード解読」について取り上げます。パスワード解読の攻撃にはいくつか種類がありますが、今回は、「総当たり攻撃」と「辞書攻撃」について解説いたします。

まず、「総当たり攻撃」です。この攻撃は、考えられるパスワードの全ての組み合わせを試す攻撃です。たとえば、銀行のATMカード、自転車のチェーンロックやトランクのダイヤル錠を、全ての番号の組み合わせ(4桁なら0000から9999までの1万通り)を片っ端から試す方法がこれに当たります。PCやスマートフォンの場合は、数字だけではなく、アルファベットや記号も含め、同じように全ての組み合わせを試します。時間はかかりますが、全部試せばいつかはパスワードにたどり着けます。人間が入力するのは時間も要し、肉体的・精神的負担も大きいですが、これを自動化したパスワード解読ツールにさせているのです。

次に、「辞書攻撃」です。この攻撃は、パスワードでよく使われる文字列を辞書として持っておき、それを機械的に試していく攻撃です。デフォルト(初期設定)のまま、「123456」「password」「(名前そのままの)hasegawa」「qwerty(キーボードの配列順そのもの)」など単純なものや、名前と誕生日の組み合わせ「hasegawa0103」などです。総当たり攻撃に比べると効率が良いため、攻撃者によく用いられる攻撃方法です。こちらも、総当たり攻撃と同様に人間がするのではなく、パスワード解読ツールにさせているのです。

これらの攻撃への対策としては、まず、パスワードの厳重管理と、推測されにくいパスワードの利用が重要です。パスワードの厳重管理を行うためには、まず他人に知られないよう「機密」として管理することが必要です。メモをする場合は、その厳重管理が必須になります。推測されにくいパスワードを使用するためには、まず桁数と使う文字種を増やすことが挙げられます。パスワードには、数字だけではなく、アルファベットや記号もできるだけ含めるようにしましょう。

次に、自分の固有の情報をできるだけ使わないことです。前述した自分自身の名前や誕生日のほかにも、ペットの名前や車種、趣味に関わることなどがあります。これらをインターネット上、たとえばブログやソーシャルメディアなどで公開していれば、その情報をもとに推測されてしまう可能性があります。実際に、国内外で有名人のソーシャルメディアやクラウドサービスの写真などへの不正なアクセスが最近もありましたが、このような推測しやすいパスワードを使っていたことが原因だったといわれています。パスワードには、すでに他人に知られている情報は使わないようにしましょう。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

企業を襲うサイバー脅威 パスワード解読②

長谷川長一

今月は「パスワード解読」の2回目です。今回は、近年急増している「リスト型攻撃」について取り上げます。「リスト型攻撃(リスト型アカウントハッ...

前の記事

企業を襲うサイバー脅威 Webサイト改ざん②

長谷川長一

昨年からCMSで構築されたWebサイトを狙った攻撃が相次いでいます。「CMS(Content Management System)」とは、インターネット上もしくはイントラ...

関連記事

企業を襲うサイバー脅威 企業内部の人的脅威③「ヒューマンエラー」

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置...

企業を襲うサイバー脅威 企業内部の人的脅威②「内部不正」

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不...

企業を襲うサイバー脅威 企業内部の人的脅威①「内部不正」

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず...