6つのタイプの代表的なパスワード攻撃と、それらを阻止し、攻撃される可能性を抑えるために実行できる手順を次に示します。
ユーザーが一般的な単語と短いパスワードを使用する傾向があるという事実を利用する攻撃。ハッカーは一般的な単語のリスト(辞書)を使用して、多くの場合、単語の前後に数字を付けて、企業のアカウントに対してユーザー名ごとにそれらの攻撃を試みます。(ユーザー名は一般的に社員の名前に基づいているため、判別するのは非常に簡単です。)
プログラムを使用して、ありそうなパスワードまたはランダムな文字セットを生成します。この攻撃は、Password123のようなわかりやすい脆弱なパスワードから始まり、被害はそこから広まります。このような攻撃を実行するプログラムは、通常、大文字と小文字のバリエーションも含めて試みます。
この攻撃では、サイバー犯はパケットスニファなどのソフトウェアを使用して、ネットワークトラフィックを監視し、通過したパスワードをキャプチャします。電話回線の盗聴や傍受と同様に、ソフトウェアで重要な情報を監視およびキャプチャします。パスワードなどの情報が暗号化されていない場合、このタスクが簡単になるのは明らかです。ただし、使用する暗号化方式の強度によっては、暗号化された情報であっても解読できる場合があります。
この攻撃では、ハッカーのプログラムは、渡される情報を監視するだけでなく、通常はWebサイトまたはアプリになりすまして、通信している両者の間に積極的に割り込みます。これにより、プログラムはユーザーの信用情報や口座番号、社会保障番号といった機密情報を取得できるようになります。中間者(MITM)攻撃は、ユーザーを偽のサイトに誘導するソーシャルエンジニアリング攻撃によってしばしば悪用されます。
サイバー犯は、ユーザーのキーストロークを追跡するソフトウェアをインストールして、アカウントのユーザー名やパスワードだけでなく、ユーザーが認証情報でログインしていたWebサイトまたはアプリを正確に収集できるようにします。このタイプの攻撃では通常、最初に悪意のあるキーロガーソフトウェアをユーザーのマシンにインストールさせる別の攻撃の餌食になります。
ソーシャルエンジニアリング攻撃とは、ユーザーから情報を取得するための幅広い方法を指します。使用される戦術には次のものがあります。
パスワード攻撃に対する防御策として、まず強力なパスワードを設定します。最新のNISTガイドラインでは、覚えやすい/推測しにくいパスワードを推奨しています。大文字と小文字、数字、特殊文字の適切な組み合わせが役立ちます。できれば、一般的な単語や一般的なフレーズの使用は避けてください。サイト固有の単語(パスワードでログインしているアプリの名前など)は絶対に避けてください。また、NISTでは、お使いのパスワードが、既知の脆弱なパスワードの辞書に含まれていないか、パスワードをチェックすることを推奨しています。
社員の教育も重要です。ソーシャルエンジニアリングの戦術に対する最善の防御策の1つは、ハッカーが使用する技術とその認識方法をユーザーに伝えることです。
最近では強力なパスワードや教育だけでは十分ではありません。サイバー犯は、コンピューティング能力を使用することで、高度なプログラムを実行し、膨大な数の信用情報を取得または試行することができます。そのため、NISTはパスワードのみに頼らないよう推奨しています。具体的には、企業はシングルサインオン(SSO)や多要素認証(MFA)などのツール(2要素認証とも呼ばれる)を採用する必要があります。
SSOは、従業員が1組の信用情報ですべてのアプリとサイトにログインできるようにすることで、パスワードを排除します。ユーザーに必要なことは、強力なパスワードを1つ覚えるだけです。MFAでは、OneLogin Protectなどのアプリケーションによって生成されたPINや指紋認証など、ユーザーがログインするときに追加の情報が必要です。この追加情報により、サイバー犯がユーザーになりすますことは、はるかに困難になります。
ナイトウォッチの防御と、実世界のサイバーセキュリティチームの防御の間に類似点はあるのでしょうか?判定してください。
ブログをお読みください。
English
Français
Deutsch
ログイン