The Hacker Newsはこのほど、「How Hybrid Password Attacks Work and How to Defend Against Them」において、ハイブリッドパスワード攻撃の仕組みとその防御策を伝えた。サイバー犯罪者は認証を突破するために革新的な手法の開発を続けており、企業にも十分な備えが必要だという。
-
How Hybrid Password Attacks Work and How to Defend Against Them
ハイブリッドパスワード攻撃の仕組み
ハイブリッドパスワード攻撃は複数の手法を組み合わせてパスワードを解読する手法。ブルートフォース攻撃のような技術的な手法にソーシャルエンジニアリング攻撃などを組み合わせ、多角的なアプローチで突破を試みる。
例えば、ブルートフォース攻撃と辞書攻撃の組み合わせが行われることがある。ブルートフォース攻撃は総当たり攻撃とも呼ばれ、すべてのパスワードの組み合わせを試行する。一般的にこの処理には膨大な時間とコストがかかり、現実的ではない。そこで、辞書攻撃を組み合わせ時間の短縮を図る。
ソーシャルエンジニアリング攻撃では企業が採用しているパスワードの法則(要件)の入手を試みる。入手できた場合はマスク攻撃を組み合わせる。マスク攻撃は要件を満たさないパスワードを事前に除去し、試行するパスワードの量を大幅に減らすことができる。
防御策
ハイブリッドパスワード攻撃では解読の時間短縮に主眼が置かれる。そのため、漏洩した既知のパスワードなどを試行して突破することが優先される。The Hacker Newsはハイブリッドパスワード攻撃に対する防御策として、次の対策を推奨している。
- 多要素認証(MFA: Multi-Factor Authentication)を導入する。パスワードは情報窃取マルウェアやフィッシングサイトなどを通じて窃取される可能性がある。多要素認証を導入するとそのような場合においても不正アクセスを高い確率で防止できる
- 単純なブルートフォース攻撃を無力化するために長いパスワードを使用する。パスワードを1文字追加するだけで計算量を数十倍にすることが可能で、現在は20文字以上が推奨されている。長いランダムなパスワードは覚えることが困難だが、20文字以上の場合は3つの任意の単語を任意の記号でつなぎ合わせるだけで安全とされる。ただし、漏洩した既知のパスワードは使用できない
システム側の防御策としては、次の対策を推奨している。
- 漏洩した既知のパスワードや脆弱なパスワードの利用を拒否する
- 漏洩した既知のパスワードの利用を検出するツールを導入する。パスワードは世界中で漏洩し続けており、新しく漏洩したパスワードと同じパスワードを利用している従業員を検出して警告する
パスワードポリシーの設定や、漏洩した既知のパスワードの利用を検出するツールは運用しているシステムに合わせて適切に選択する必要がある。たった1人の従業員のアカウントが不正アクセスされただけでランサムウェアなどのサイバー攻撃の被害に遭うことがあり、企業は上記の対策を実施して万全のセキュリティ態勢を構築することが望まれている。
DNPグループは“実行可能”なサイバーセキュリティ体制をどのように成長させ続けているのか
