6つのタイプのパスワード攻撃

代表的なパスワード攻撃とそれらを阻止する方法

代表的なパスワード攻撃

6つのタイプの代表的なパスワード攻撃と、それらを阻止し、攻撃される可能性を抑えるために実行できる手順を次に示します。

辞書攻撃

ユーザーが一般的な単語と短いパスワードを使用する傾向があるという事実を利用する攻撃。ハッカーは一般的な単語のリスト(辞書)を使用して、多くの場合、単語の前後に数字を付けて、企業のアカウントに対してユーザー名ごとにそれらの攻撃を試みます。(ユーザー名は一般的に社員の名前に基づいているため、判別するのは非常に簡単です。)

総当たり攻撃

プログラムを使用して、ありそうなパスワードまたはランダムな文字セットを生成します。この攻撃は、Password123のようなわかりやすい脆弱なパスワードから始まり、被害はそこから広まります。このような攻撃を実行するプログラムは、通常、大文字と小文字のバリエーションも含めて試みます。

トラフィック妨害

この攻撃では、サイバー犯はパケットスニファなどのソフトウェアを使用して、ネットワークトラフィックを監視し、通過したパスワードをキャプチャします。電話回線の盗聴や傍受と同様に、ソフトウェアで重要な情報を監視およびキャプチャします。パスワードなどの情報が暗号化されていない場合、このタスクが簡単になるのは明らかです。ただし、使用する暗号化方式の強度によっては、暗号化された情報であっても解読できる場合があります。

中間者攻撃

この攻撃では、ハッカーのプログラムは、渡される情報を監視するだけでなく、通常はWebサイトまたはアプリになりすまして、通信している両者の間に積極的に割り込みます。これにより、プログラムはユーザーの信用情報や口座番号、社会保障番号といった機密情報を取得できるようになります。中間者(MITM)攻撃は、ユーザーを偽のサイトに誘導するソーシャルエンジニアリング攻撃によってしばしば悪用されます。

キーロガー攻撃

サイバー犯は、ユーザーのキーストロークを追跡するソフトウェアをインストールして、アカウントのユーザー名やパスワードだけでなく、ユーザーが認証情報でログインしていたWebサイトまたはアプリを正確に収集できるようにします。このタイプの攻撃では通常、最初に悪意のあるキーロガーソフトウェアをユーザーのマシンにインストールさせる別の攻撃の餌食になります。

ソーシャルエンジニアリング攻撃

ソーシャルエンジニアリング攻撃とは、ユーザーから情報を取得するための幅広い方法を指します。使用される戦術には次のものがあります。

  • フィッシング –信用情報の提供、悪意のあるソフトウェアをインストールするためのリンクのクリック、または偽のWebサイトへのアクセスをユーザーに促すメールやテキストなど。
  • スピアフィッシング -フィッシングに似ていますが、ユーザーについて既に収集された情報に依存する、より巧みに作成された、カスタマイズされたメール/テキストを使用します。たとえば、ハッカーは、ユーザーが特定の種類の保険口座を持っていることを把握してそれをメールで参照したり、企業のロゴやレイアウトを使用して正当なメールを装います。
  • ベイティング-攻撃者は、感染したUSBまたはその他のデバイスを、社員が拾って使用するよう、公共または雇用主の場所に置きます。
  • Quid pro quo -サイバー犯は、ヘルプデスクの社員などになりすまし、ユーザーから情報を取得する必要がある方法でユーザーと通信します。

パスワード攻撃の阻止

パスワード攻撃に対する防御策として、まず強力なパスワードを設定します。最新のNISTガイドラインでは、覚えやすい/推測しにくいパスワードを推奨しています。大文字と小文字、数字、特殊文字の適切な組み合わせが役立ちます。できれば、一般的な単語や一般的なフレーズの使用は避けてください。サイト固有の単語(パスワードでログインしているアプリの名前など)は絶対に避けてください。また、NISTでは、お使いのパスワードが、既知の脆弱なパスワードの辞書に含まれていないか、パスワードをチェックすることを推奨しています。

社員の教育も重要です。ソーシャルエンジニアリングの戦術に対する最善の防御策の1つは、ハッカーが使用する技術とその認識方法をユーザーに伝えることです。

最近では強力なパスワードや教育だけでは十分ではありません。サイバー犯は、コンピューティング能力を使用することで、高度なプログラムを実行し、膨大な数の信用情報を取得または試行することができます。そのため、NISTはパスワードのみに頼らないよう推奨しています。具体的には、企業はシングルサインオン(SSO)や多要素認証(MFA)などのツール(2要素認証とも呼ばれる)を採用する必要があります。

SSOは、従業員が1組の信用情報ですべてのアプリとサイトにログインできるようにすることで、パスワードを排除します。ユーザーに必要なことは、強力なパスワードを1つ覚えるだけです。MFAでは、OneLogin Protectなどのアプリケーションによって生成されたPINや指紋認証など、ユーザーがログインするときに追加の情報が必要です。この追加情報により、サイバー犯がユーザーになりすますことは、はるかに困難になります。

関連リソース:

MFAはどのタイプの攻撃を防ぎますか?

MFAが、代表的なサイバー攻撃やセキュリティ違反を防ぐために役立つ方法をご覧ください。

詳しい情報

ゲームオブスローンがサイバーセキュリティに関して教えてくれる3つの教訓

ナイトウォッチの防御と、実世界のサイバーセキュリティチームの防御の間に類似点はあるのでしょうか?判定してください。

ブログをお読みください。

サイバーセキュリティとは何でしょう、そして何故必要なのでしょう?

サイバーセキュリティが意味すること、サイバー攻撃のタイプ、そしてそれを防止できる方法を理解してください。

詳しい情報