社員が退職する際、会社内のアカウントの引き継ぎはスム
サイバーセキュリティの分野では、RockYou.txt ワードリストは聞き慣れた名前になっています。またパスワードリスト攻撃に使われたりもします。それだけではなく、セキュリティ専門家がネットワークセキュリティの強度をテストするために使用するツールです。しかし、デジタル世界の多くのツールと同様に、悪意のある人によって悪用されることもあります。このブログ記事では、RockYou.txt の歴史、その用途、および関連する潜在的な脅威から組織を保護する方法について詳しく説明します。
RockYou.txt の歴史
RockYou.txt ワード(辞書)リストは、2009 年に発生した重大なデータ漏洩に由来します。ソーシャルアプリや広告ネットワークである RockYou は、壊滅的なサイバー攻撃を受け、3,200 万以上のユーザーパスワードが過去に流出しました。パスワードは、サイバーセキュリティにおいては基本的な過失であるプレーンテキストでの保存が行われており、攻撃者にとっては簡単な獲物でした。
流出したパスワードは、今では RockYou.txt ファイルとして知られているワードリストに編集されました。このリストは、現実世界のユーザーのパスワード選択習慣を表しているため、パスワード解読やネットワークテストの標準ツールとなっています。またパスワードリスト攻撃のツールとしても知られています。
セキュリティ専門家による RockYou.txt の使用方法
セキュリティエンジニア、テスター、IT 管理者は、RockYou.txt ワードリストを使用して、ネットワークとシステムのセキュリティ強度をテストします。ワードリストを使用してハッシュ化されたパスワードを解読したり、ネットワーク防御に侵入したりすることで、これらの専門家は、システム内の弱いパスワードや脆弱性を特定できます。
RockYou.txt ワードリストは、パスワード解読演習のために、John the Ripper や Hashcat などのツールと一緒によく使用されます。ワードリストは辞書として機能し、試す可能性のあるパスワードのリストを提供します。
RockYou.txt ワードリストは、GitHub や Kaggle などのリソースからダウンロードできます。
サイバー犯罪者による RockYou.txt の使用方法
RockYou.txt ワードリストはセキュリティ専門家にとって価値がありますが、ハッカーの手にある武器の1つでもあります。サイバー犯罪者は、このリストや、さらに高度な、またはカスタマイズされたリストを使い、パスワードスプレー攻撃で多数のユーザー名に対して一般的に使用されているパスワードを試して、アカウントへの不正アクセスを試みます。
パスワードスプレー攻撃では、ハッカーはユーザー名のリスト (以前のデータ侵害で得られることが多い) を使用し、RockYou.txt ワードリストから少数のパスワードを各アカウントに試します。この方法により、1 つのアカウントで複数のログイン試行に失敗しないようにして、アカウントロックアウトポリシーを回避しています。
RockYou.txtを使用されるリスクを回避する対策方法
RockYou.txtを使用されるリスクを回避する方法はいくつかありますが、中でもパスワードに対する管理を普段からどれだけしているかにかかっています。
仮にパスワードが使いまわされていた場合は、一度破られると他のアカウントの乗っ取りにも影響するので使いまわしはやめましょう。
強力でユニークなパスワードを使用する
RockYou.txt ワードリスト攻撃などのツールなどによってもたらされる脅威に対して、強力でユニークなパスワード管理は対策になります。
すべてのアカウントに強力でユニークなパスワードを作成することが大切です。強力でユニークなパスワードとは、長くて複雑なもの、つまり 16 文字以上で、大文字と小文字、数字、特殊文字の組み合わせが含まれているもののことを指します。これらのパスワードには、連続した数字、誕生日、一般的な単語やフレーズ、個人情報を含めないこと、そして最も重要なことは、複数のアカウントで再利用や使いまわしをしないことが重要です。
そうすることにより、攻撃者による認証情報の解読が困難になります。
多要素認証(MFA)を有効にする
すべてのアカウントに強力なパスワードを設定したら、可能な限り多要素認証 (MFA) も有効にする必要があります。MFA の目的は、アカウントにアクセスするために、パスワードに加えて 1 つ以上の認証形式を要求することで、アカウントに追加のセキュリティ層を提供することです。
これにより仮にサイバー犯罪者があなたのアカウントをハッキングできたとしても、追加の認証本人確認要素を提供しなければならないため、アカウントにログインできません。そのため有効です。
ダークウェブ監視ツールを使用する
BreachWatch® は、ダークウェブで認証情報が侵害されていないか積極的に監視することができます。組織の認証情報がデータ漏洩で発見された場合は、すぐに警告するため、迅速な対応が可能です。サイバーセキュリティに対するこの積極的なアプローチは、進化し続ける脅威に直面しても、デジタルライフを確実に保護するのに役立ちます。Keeper のパスワードジェネレーターを使用してパスワードを変更することで、認証情報が侵害されるリスクを大幅に軽減します。
パスワードマネージャーを使用する
上記で挙げた3つの対策機能がすべて含まれているのが、Keeperのパスワードマネージャーの機能には含まれています。
Keeper Security は、すべてのログインに強力でユニークなパスワードを使用するように強制するようポップアップがでます。また、多要素認証 (MFA) をサポートし、アカウントにセキュリティレイヤーを追加してくれます。Keeper のパスワードジェネレーターを活用することで、RockYou.txt(テキスト) などのリストと同じパスワードを使用するリスクを軽減できます。ランダムに生成されるパスワードには単語が含まれないため、どの言語の辞書にも掲載されていないためとても有効です。
RockYou.txt ワードリスト攻撃は、すべてのアカウントで強力でユニークなパスワードを使用することが重要だと考えさせられます。サイバーセキュリティの脅威の進化に伴い、Keeper のようなツールは、データを保護するためにますます重要になります。
まとめ:RockYou.txt ワードリスト攻撃にはパスワードマネージャーが有効
サイバーセキュリティは、共同責任であり、1人1人の責任になります。サイバーセキュリティ業界で使用されているツールや戦術を理解することで、誰もが安全なデジタル世界に貢献できます。
RockYou.txt ワードリスト攻撃などのツールに対しても普段からパスワードマネージャーなどで対策を怠らない事が大切です。
Keeper の受賞歴のあるパスワードマネージャーと特権アクセス管理ツールは、個人や組織が認証情報に関連する攻撃のリスクを最小限に抑えるのに役立ちます。
Keeperでは Keeper Password Manager の 30 日間無料パーソナルトライアルまたは 14 日間のビジネストライアルを開催しているので、気になったらぜひお試しください。