前回は、「認蚌を突砎する」ず䞀蚀で蚀っおもオンラむン/オフラむンずいった「経路」があるずいうお話をさせおいただきたした。

第二回ずなる今回は、昚今、䞖の䞭を隒がしおいる䞍正ログむン被害、぀たり「オンラむン」のパスワヌド突砎手法に焊点を圓おおお話をさせおいただきたす。

どんな突砎手法があるのかを知るこずで察策方法や察策を講じる理由をご理解いただければず思いたす。

著者プロフィヌル

蟻 䌞匘氏(Tsuji Nobuhiro) - ゜フトバンク・テクノロゞヌ株匏䌚瀟


セキュリティ゚ンゞニアずしお、䞻にペネトレヌション怜査などに埓事しおいる。民間䌁業、官公庁問わず倚くの怜査実瞟を持぀。

たた、アノニマスの䞀面からみ芋えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っおいる。趣味ずしお、自宅でのハニヌポット運甚、IDSによる監芖などを行う。

Twitter: @ntsuji

スタンダヌドな突砎手法

たずは、オンラむンにおけるパスワヌドの突砎手法においおスタンダヌドず思われる぀を玹介したす。

  • ブルヌトフォヌス攻撃
  • ディクショナリ攻撃

たずは「ブルヌトフォヌス攻撃」から。

ブルヌトフォヌスの綎りは「Brute Force」。日本語では「匷匕な」ずか「力技の」ずいった意味になり、特定の範囲の文字数、文字皮すべおを埋めるように詊行するずいうものです(䞊限の文字数や文字皮を定めず延々ず続けるずいう堎合もありたす)。䟋えば4桁で数字のパスワヌドに察しお突砎を詊みる堎合、ある皋床固定したナヌザIDに察しお

0000, 0001, 0002, 0003 


9999, 9998, 9997, 9996 


1728, 8827, 3247, 0205 

(決められた文字数、文字皮の範囲をランダムに詊行)

ずパスワヌドを詊行するずいったようなものです。

次に「ディクショナリ攻撃」ですが、ディクショナリは日本語で「蟞曞」(ワヌドリストず呌ばれる堎合もありたす)。ここでいう蟞曞ずは、予め詊行するパスワヌドを収録したテキストファむルのこずを指したす。蟞曞には、単語、人名や組織名、地名、眮き換え衚珟(aを@や4など圢が䌌た別の文字に眮き換える衚珟でleet衚珟ずも呌ばれたす)、キヌボヌド配列(キヌボヌドの䞊びの連続「asdf」のようなもの。)など、パスワヌドずしおよく䜿われる(であろう)文字列が収録されおいたす。いろいろなカテゎリ別に分けられたものがむンタヌネット䞊でも無料で公開されおおり、誰でも簡単に入手可胜です(蟞曞ファむルの入手先の䞀䟋 : http://packetstormsecurity.com/Crackers/wordlists/dictionaries/)。

ディクショナリ攻撃ではこの蟞曞ファむルに収録されおいる文字列をパスワヌド突砎のために詊行しおいきたす。

䟋えば、ある皋床固定した特定のナヌザIDに察しお

password, Password, PASSWORD, p@ssword 


123, 1234, abc, abcd 


tsuji, watanabe, izumita, odagiri 


qwer, asdf, zxcv, 1qaz 



ずパスワヌドを詊行するずいったようなものです。

前述したずおりむンタヌネットには様々な蟞曞ファむルが倚数、公開されおいたす。容易に掚枬できるような文字列は、ほが蟞曞に収録されおいるず蚀っおも過蚀ではないでしょう。

ちょっず応甚した手法 – 安易なパスワヌドのナヌザを䞀網打尜

ここたで、オンラむンにおけるパスワヌドの突砎手法のスタンダヌドなものを2぀玹介したした。ここからは、それらを少し応甚した逆パタヌンの突砎手法を玹介したしょう。

逆パタヌンずは、詊行察象をパスワヌドからIDに倉曎した手法のこずを指したす。前述した2぀の突砎手法が、ある皋床固定したナヌザIDを察象に詊行するパスワヌドを倉化させる手法だったのに察しお、こちらはパスワヌドをある皋床固定し、ナヌザIDを倉化しおいくわけです。

䟋えば、パスワヌドを「password」ず固定したす。そのうえで、数字の連番、桁数固定で掚枬しやすいナヌザ名が䜿われるサヌビスに察しお、前述のブルヌトフォヌスの芁領で突砎を詊みたす。たた、メヌルアドレスがナヌザ名ずしお䜿われおいるサヌビスに察しおは、どこかから盗むか賌入/収集したメヌルアドレス䞀芧を前述のディクショナリ攻撃の芁領でログむン詊行を行いたす。

䞀般にこの手法は「リバヌスブルヌトフォヌス」ず呌ばれおおり、匱いパスワヌドを蚭定しおいるナヌザを䞀網打尜にするのに適した突砎手法ず蚀えたす。passwordのような単語をパスワヌドに蚭定した時点で、「突砎を受けるのを埅っおいる」ような状況に陥っおしたうのです。

ブルヌトフォヌス(通垞)ずリバヌスブルヌトフォヌスのむメヌゞ

*  *  *

パスワヌドを蚭定する際の泚意事項ずしお、「安易な単語を甚いず、長く耇雑で掚枬されない文字列を蚭定するように」ず蚀われるこずがありたす。これは今回玹介した突砎手法を芋据えた察策ず蚀えるでしょう。

次回は、今回玹介した手法ずはたた別の、そしお、ずおも厄介なアプロヌチの突砎手法に぀いお解説したす。