Googleスプレッドシートにパスワードを保存する際
ハッカーは、データ漏洩、パスワードのクラッキング、類推攻撃、物理的な盗難、マルウェアなど、さまざまな方法でパスワードを盗みます。 ハッカーがアカウントに不正アクセスすると、深刻な被害をもたらしますが、自衛手段は存在します。
本記事では、ハッカーがパスワードを盗むハッキングする方法と、アカウントへの不正アクセスを防ぐ対策について詳しく解説します。
Keeperの無料トライアルで、パスワード管理をもっと簡単に。
安心・安全・便利を個人用30日間無料で体験しましょう
パスワードが盗まれたらどうなるのか?
サイバー犯罪者は、盗んだパスワードをダークウェブで他のハッカーに売ったり、次のサイバー犯罪を犯すために自ら利用したりします。
盗まれたクレデンシャルは、銀行口座などの重要なアカウントへのアクセス権をハッカーに与え、その他の個人識別情報(PII)の盗難につながる恐れがあります。 これは、金銭や個人情報の盗難など、深刻な被害をもたらす可能性があります。 盗まれた個人情報の復旧には時間と費用がかかり、その被害は何年も続く可能性があります。
ハッカーによりパスワードがハッキングされる方法
ハッカーによってパスワードが盗まれハッキングされてしまう方法をいくつか紹介します。
1. 情報漏洩
クレデンシャルが盗まれる原因のうち、最も一般的なのがデータ漏洩です。2022年には、米国で4億2,200万人以上が、1,802件のデータ漏洩によって何らかの被害を受けています。 データ漏洩は、数百万ものユーザーを持つ大企業で多く発生し、ユーザー名、パスワード、健康情報、クレジットカード番号、社会保障番号などが流出する可能性があります。
情報漏洩によってクレデンシャルが流失したかどうかは、ダークウェブスキャンツールで確認できます。
2. 総当たりのパスワード攻撃によるパスワードクラッキング
総当たり攻撃とは、ボットがランダムなパスワードを繰り返し試行して正解を見つけ出す、パスワードクラッキング方法です。 これらのボットは1秒で数百ものパスワードを試行できますが、辞書に登録されている単語(辞書攻撃とも呼ばれる)や短いパスワードなどを類推する傾向があります。
8文字のランダムなパスワードは、8時間以内にハッキングされる可能性があります。それよりも短いパスワードは、ほぼ瞬時にクラッキングされます。一方、数字、文字、特殊文字をランダムに組み合わせた18文字のパスワードをクラッキングするには数兆年もの時間がかかります。
3. 推測攻撃
ハッカーは、デジタルフットプリントを盗聴、収集して得た情報を利用してパスワードを類推することもできます。 たとえば、ターゲットの家族や恋人の名前、誕生日、自宅の住所などをパスワードに含めてクラッキングを試みるかもしれません。 残念ながら多くの人がパスワードにこのような情報を含めており、サイバー犯罪者の類推攻撃の成功率を高める要因となっています。 パスワードを強化するために、個人情報、特にソーシャルメディアで見つかるような情報は使用しないでください。
ランダムなパスワードよりも類推が容易なため、類推攻撃では一般的に使用されるデフォルトのパスワードも試行されます。 認証システムが設定したデフォルトのパスワードは、独特で複雑なパスワードに変更することが重要です。
4. ショルダーサーフィン
ショルダーサーフィンとは、ターゲットがパスワードなどの情報を入力しているところを物理的に盗み見ることを指します。 手口としては、ATMで暗証番号を入力しているところを、身を乗り出して動画で撮影したりなどがあります。 これは、オフィス、職場共用スペース、カフェなど、キーボードやコンピューター画面を人前に出す場所ならどこでも起こり得ます。
ショルダーサーフィンを防ぐには、公共の場でパスワードを書き留めない、プライバシー画面を使う、パスワードを入力する際は「パスワードを非表示にする」機能を使うことが重要です。
5. マルウェアとキーロギング
悪質なリンクやファイルには、サイバー犯罪者が設計した有害なソフトウェア(マルウェア)が含まれている可能性があります。 ユーザーがフィッシング攻撃などのオンライン詐欺を受けた際に、誤ってマルウェアをダウンロードしてしまうことがあります。 マルウェアがコンピューターに不正アクセスする方法は多くありますが、最も一般的な方法の一つに、ユーザーのキー入力を記録するキーロガーがあります。 サイバー犯罪者はこの記録を使って、ターゲットのクレデンシャルやコンピューターに入力した機密情報を盗み取ります。
6. 中間者攻撃
サイバー犯罪者は、2つのエンティティ間のやり取りを傍受した際に中間者攻撃を仕掛けます。 中間者攻撃はさまざまな方法で実行できますが、よく見られるのは公共WiFi を使った攻撃です。 中間者攻撃では、クレデンシャルなどの多くの機密情報を盗むことができます。
中間者攻撃を防ぐには、公共WiFiの使用を避けて、ホームネットワークには強力なパスワードを設定し、VPNを使用します。
7. ソーシャルエンジニアリング攻撃
ソーシャルエンジニアリング攻撃も、クレデンシャルを盗む手口としてよく見られます。 ソーシャルエンジニアリング攻撃では、フィッシングなどの他の方法と組み合わせて、心理的に相手を操り、機密情報の盗難の成功率を高めます。 この手口では、ターゲットの信頼を得るためにデジタルフットプリントから収集した情報を頻繁に使用します。 こうした手口の例としては、緊急性の高いメッセージで相手をパニックにして、何も考えずに情報を渡すように仕向けたり、家族や恋人になりすましたりします。
8. パスワードスプレー攻撃
パスワードスプレー攻撃では、ハッカーは、よく知られているパスワードをいくつか試用して、単一のウェブサイトやアプリ上の複数のアカウントを攻撃します。 123456のように広く使われているパスワードは、安全でないことがわかっているのに、多くの人が使っているため、格好の餌食と言えます。 この種の攻撃は、総当たり攻撃のようにパスワードをロックさせることなく、主要プラットフォームの数百ものアカウントに不正アクセスできます。
このような攻撃は、アカウントごとに独特で複雑なパスワードを使えば防げます。
9. フィッシング攻撃
最も一般的な攻撃手段の1つであるフィッシング攻撃では、ハッカーが銀行などの正式な機関になりすましてパスワードなどの機密情報を要求します。 本物そっくりのなりすましサイトや偽のログインページまで作って、クレデンシャルを盗み取ろうとします。
パスワードが漏洩したか確認する方法
パスワードが漏洩したか確認する方法は攻撃の種類によって異なります。 パスワードの変更が原因でアカウントにアクセスできない場合は、パスワードが盗まれてアカウントが乗っ取られていることを意味します。 データ漏洩で流出したパスワードは、ダークウェブで販売されます。 そのため、ダークウェブ監視ツールを使えば、クレデンシャルが盗まれたかどうかを確認できます。
ここでは、パスワードを守るためのヒントをいくつか紹介します。
アカウントごとに強力で独特なパスワードを使う
一般的なパスワードは依然として多くの人が使用しているため、サイバー犯罪者はそれらを試すことで成功を収めています。
SplashDataの調査によると、世界で最も一般的に使われているパスワードは以下の通りです。
● 123456
● password
● 12345
● 12345678
● football
● qwerty
● 1234567890
大文字、小文字、数字、特殊記号を含め、16文字以上のパスワードを使用することをお勧めします。 パスワードはランダムにして、辞書に登録されている単語や誕生日などの個人情報は含めないでください。
すべてのアカウントでユニークなパスワードを設定すると、覚えるのは困難になります。そこで、パスワードマネージャーが役に立ちます。 パスワードマネージャーは、すべてのパスワードをボルトに保存し、ボルトのロックはマスターパスワードでしか解除できません。覚える必要があるのは、このマスターパスワードだけです。
漏洩が発生したらパスワードを変更する
ダークウェブ監視ツールを使えば、データ漏洩が発生し、ログイン情報が流出したことを把握できます。 パスワード漏洩の通知が届いたら、すぐにパスワードを変更します。
フィッシング詐欺を見破る方法を学ぶ
AIの進化により、人間の文章を真似たフィッシング詐欺が増え、これらの詐欺を識別することが一層困難になっています。これらの攻撃は通常、メールやメッセージングを介して行われ、ユーザーに金銭的な損失を避けるための緊急かつ必要な対応を求めることが多いです。また、個人識別情報(PII)やアカウント情報、社会保障番号の提供を求めることもあります。フィッシング攻撃を防ぐためには、予期せぬメッセージに対して慎重であること、サイバーセキュリティの最新ニュースや攻撃や詐欺の手法を常にチェックすることが重要です。
まとめ:ハッキングされないようパスワードを守ろう
ハッキングされないようパスワードを守るには、さまざまな文字の種類を組み合わせたユニークで複雑なパスワードを使うのが最善の方法です。
Keeper パスワードマネージャーは自動的に強力なパスワードを生成し、それらを暗号化されたボルトに安全に保存し、自動でウェブサイトに入力してくれるので、手動でパスワードを入力する必要がありません。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルを試してみてはいかがでしょうか。