パスワードジェネレーターは、ボタンをクリックすると強
よく発生するパスワードリスト攻撃には、パスワード解読、パスワードスプレー、辞書攻撃、クレデンシャルスタッフィング、総当たり攻撃、レインボーテーブル攻撃などがあります。 パスワード習慣が優れているほど、パスワードリスト攻撃の影響に左右されなくなります。 Keeperのパスワード管理レポートによると、すべてのアカウントに対し強力でユニークなパスワードを使用している回答者は、わずか25%でした。つまり、回答者の75%は、脆弱なパスワードを使用しているために、自分のアカウントを侵害されるリスクに晒しているのです。
ここでは、よく発生する6種類のパスワードリスト攻撃とそれらの危険性、パスワード関連の攻撃から身を守るための対策について、詳しくご説明します。
パスワード解読(クラッキング)
パスワード解読とは、サイバー犯罪者がプログラムやツールを使用してオンラインアカウントに不正アクセスすることです。 パスワード解読の手法はいくつかありますが、それらすべてに共通する狙いは、悪意のある目的でユーザーのアカウントを侵害することです。 人工知能(AI)が高度化するにつれて、サイバー犯罪者はAIを活用しています。これは、AIツールを利用するとパスワードの解読が簡単になるためです。 AIの出現により、サイバー犯罪者がパスワードを解読するのにかかる時間が大幅に短縮されました。
総当たり攻撃(ブルートフォース攻撃)
総当たり攻撃とは、サイバー犯罪者がソフトウェアを利用し、試行錯誤してログイン認証情報を推測しようとするものです。 総当たり攻撃ソフトウェアには、認証情報が一致するものを見つけるまで、さまざまな組み合わせを入力する機能があります。 試行錯誤してパスワードを推測しようとするのは非効率だと思われるかもしれませんが、サイバー犯罪者が使用するソフトウェアは、短時間で数兆ものパスワードの組み合わせを処理できます。
パスワードスプレー
パスワードスプレー(パスワードスプレー攻撃)は、サイバー犯罪者がよく使用されるパスワードのリストを使用して、1つのドメイン上の複数のアカウントにアクセスしようとするものです。 これらのリストには、「123456」「パスワード」など、多くの人が使用する脆弱なパスワードが含まれます。 パスワードスプレーツールを利用することで、サイバー犯罪者はこのようなリストを入力できるようになり、そのツールを使って複数のパスワードを一度に解読するのです。
辞書攻撃
辞書攻撃とは、辞書に記載されている一般的な単語やフレーズを使用してアカウントを侵害するパスワードリスト攻撃です。 辞書攻撃では、サイバー犯罪者は、パスワードとしてよく使用される単語やフレーズを含む単語のリストを使用します。 そして、パスワード解読プログラムを使って異なるユーザーアカウントに単語の組み合わせを入力し、パスワードを解読しようとするのです。
クレデンシャルスタッフィング
クレデンシャルスタッフィングは、多くの人が複数のアカウントでパスワードの使い回しをしているという事実を悪用するパスワードリスト攻撃です。 クレデンシャルスタッフィング攻撃では、サイバー犯罪者は一連の認証情報を使用して、一度に複数のアカウントを侵害しようとします。 多くの場合、サイバー犯罪者は、公的データ侵害で漏洩した認証情報を使用します。
レインボーテーブル攻撃
レインボーテーブル攻撃は、特殊な表を使用してサイバー犯罪者がパスワードハッシュを解読しようとするものです。 パスワードハッシュとは、パスワードが読み取り不可能な文字の文字列に変更されたものです。 アカウントを持つ企業がユーザーのパスワードを暗号化している場合、その企業はパスワードハッシュのみを保存していることになります。 これは、もしその企業がデータ侵害に遭った場合、ユーザーのアカウントパスワードがサイバー犯罪者に知られないようにするためです。
しかし、ハッシュ化されたパスワードは、レインボーテーブル攻撃に対しては依然として脆弱なのです。 レインボーテーブル攻撃では、サイバー犯罪者はは潜在的なパスワードのリストを収集します。それは通常、一般的に使用されるパスワードの組み合わせで構成されています。 サイバー犯罪者は、ハッシュ関数を使用してそれぞれのパスワードをパスワードハッシュに変換します。その後、平文パスワードとパスワードハッシュは、どちらもレインボーテーブルに保存されます。 パスワードハッシュはさらに削減されてハッシュのチェインが作られ、それらは一致するものを見つけるために使用されます。 サイバー犯罪者は、対応するハッシュ値を見つけると、どのパスワードを使用してユーザーのオンラインアカウントを侵害するのかを把握するのです。
パスワードリスト攻撃が危険である理由
パスワードリスト攻撃は危険です。それはアカウントの侵害やアカウント乗っ取りにつながることがあり、その結果個人情報の盗難や金銭的な損失が発生する可能性があるためです。 アカウント乗っ取りとは、ユーザーのオンラインアカウントに権限のない個人がアクセスし、パスワードを改ざんして正規のユーザーがアクセスできないようにすることです。 パスワードが改ざんされたため、ユーザーがアカウントへのアクセスを取り戻すまでに時間がかかることがあり、場合によっては、自分のアカウントへのアクセスをまったく取り戻せない場合もあります。
権限のない個人がユーザーのアカウントにアクセスしている間にユーザーの機微情報が収集され、その情報を使用してユーザーの身元を盗むことができるのです。 個人情報盗難からの回復は困難であり、深刻な経済的損失をもたらす可能性があります。
パスワードリスト攻撃から身を守る対策
パスワードリスト攻撃から身を守る方法をいくつか紹介します。
ウェブサイトやアプリでサポートされている場合は、パスキーを使用する
パスキーは、ユーザーがパスワードを入力することなくオンラインアカウントにログインできるようにする、新しい認証技術です。 パスワードを自分で作成する必要があるのではなく、パスキーはデバイスやブラウザ、またはユーザーが作成するとパスワードマネージャーに自動的に生成されます。 パスキーの場合、従来のパスワードのように脆弱性なことや使い回しを心配する必要はありません。 パスキーはデフォルトで強力であり、パスワードのように簡単に侵害されることはないため、アカウントにログインする際にユーザーを認証する最も安全な方法の1つになります。
パスキーはまだ新しいため、現時点では特定のウェブサイトやアプリのみが対応しています。 パスワードリスト攻撃の影響を受けやすいパスワードを使用する代わりに、アカウントを持つウェブサイトやアプリがパスキーの使用に対応している場合は、パスキーを使用することをお勧めします。 弊社のパスキーディレクトリで、現在パスキーの使用に対応しているウェブサイトやアプリをご確認ください。
強力でユニークなパスワードを使用する
すべてのウェブサイトがパスキーをサポートしているわけではないため、ほとんどのオンラインアカウントでは依然として強力なパスワードを作成する必要があります。 パスワードを作成する際は、パスワードのベストプラクティスに従って、簡単には推測や解読されないようにしましょう。 パスワードジェネレーターを使用してパスワードを作成し、常に強力でユニークなパスワードを作成することをお勧めします。
強力でユニークなパスワードをいくつも覚えられるかどうか不安でしたら、パスワードマネージャーの使用をご検討ください。 パスワードマネージャーは、ユーザーが各オンラインアカウントに対して強力なパスワードを生成し、パスキーや多要素認証コードなどの他の認証方法と一緒にそれらを安全に保存するのに役立ちます。 覚えておく必要があるパスワードは、マスターパスワードだけです。
オプションがある場合はMFAを有効にする
多要素認証(MFA)は、ほとんどのオンラインアカウントで有効にできるセキュリティ対策です。 MFAを有効にすると、ユーザー名とパスワードの入力とは別に、追加の認証要素を提供してアカウントにログインする必要があります。 たとえサイバー犯罪者がパスワードを解読できたとしても、個人情報を認証することはできないため、オンラインアカウントを侵害することはできません。
ソーシャルエンジニアリング攻撃に気を付ける
ソーシャルエンジニアリングとは、サイバー犯罪者が心理的操作を使用して被害者に機微情報を提供させようとするものです。 ソーシャルエンジニアリング攻撃の最も一般的なものはフィッシングです。フィッシングとは、サイバー犯罪者が、標的とする被害者がアカウントを持つ企業や家族など、被害者が知る人物になりすまして、機微情報を明らかにさせることです。
ソーシャルエンジニアリング攻撃は、通常、被害者にオンラインアカウントのログイン認証情報を明らかにさせようとするものです。 ソーシャルエンジニアリング攻撃に注意しなければ、ログイン認証情報が簡単に奪われてアカウントが侵害される危険性があります。 ソーシャルエンジニアリング攻撃に遭わないようにする最善策の一つは、個人情報(特にオンラインアカウントのログイン情報)を誰にも明かさないことです。 また、一方的に送りつけられたリンクをクリックしないようにするべきです。マルウェアをダウンロードしたり、ログイン認証情報やその他の機微情報をなりすましウェブサイトに入力したりする事態を防ぐことになります。
まとめ:パスワードリスト攻撃によってアカウントがハッキングされないよう対策を
現代ではオンラインアカウントが非常に多いため、各アカウントに強力でユニークなパスワードを作成し、オプションがある場合はいつでもMFAを有効にすることに尻込みしてしまうこともあるでしょう。 ご利用のオンラインアカウントそれぞれが安全であることを確実にするのは難しいことではありません。Keeper®のようなパスワードマネージャーは、頻発するパスワードリスト攻撃からアカウントを安全に保つのに役立ちます。
Keeperを使用すると、パスワードやパスキーの管理に加えて2FAコードさえも管理できるため、パスワードの脆弱性や使い回しを心配することなく、オンラインアカウントを保護できます。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。