インターネットの様々なサービスを利用するために必要な機密情報であるパスワード。そのパスワードを不正に入手する手法がパスワードクラックです。パスワードを他人に知られてしまうと、自分の知らないうちにログインされ情報を抜き取られたり金銭的な被害を受ける可能性があります。そういった事態を防ぐためにもパスワードクラックの手口と対策を知っておきましょう。
パスワードクラックとは
パスワードクラックとは、データを解析して他人のパスワードを割り出す行為のことをいいます。Webサイトに攻撃を仕掛けて他人のアカウントに設定されたパスワードを特定します。そのパスワードを使って不正ログインし、情報を盗む等の犯罪行為に使われます。
パスワードクラックを受けた場合に起きる主な被害
IDとパスワードを使った会員機能を備えたWebサイトの運営者は、常にパスワードクラックの危険に晒されています。サイト運営担当者はパスワードクラックで受ける可能性のある被害の内容を把握して、防止策を考えましょう。
1 秘匿性の高い情報の流出
パスワードクラックで不正ログインされると、そのアカウントの登録情報を把握されてしまいます。氏名や住所だけでなく、銀行口座やクレジットカード番号といった情報を登録しているサイトの場合、金銭的な被害につながる可能性が高まります。
なお、IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2021」によると、個人と組織それぞれの脅威ランキングは概ね以下のようになっています。
| 順位 | 個人 | 組織 |
| 1位 | スマホ決済の不正利用 | ランサムウェアによる被害 |
| 2位 | フィッシングによる個人情報等の詐取 | 標的型攻撃による機密情報の窃取 |
| 3位 | ネット上の誹謗・中傷・デマ | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 4位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | サプライチェーンの弱点を悪用した攻撃 |
| 5位 | クレジットカード情報の不正利用 | ビジネスメール詐欺による金銭被害 |
| 6位 | インターネットバンキングの不正利用 | 内部不正による情報漏えい |
| 7位 | インターネット上のサービスからの個人情報の窃取 | 予期せぬIT基盤の障害に伴う業務停止 |
| 8位 | 偽警告によるインターネット詐欺 | インターネット上のサービスへの不正ログイン |
| 9位 | 不正アプリによるスマートフォン利用者への被害 | 不注意による情報漏えい等の被害 |
| 10位 | インターネット上のサービスへの不正ログイン | 脆弱性対策情報の公開に伴う悪用増加 |
出典:IPA(情報処理推進機構)「情報セキュリティ10大脅威 2021」https://www.ipa.go.jp/security/vuln/10threats2021.html
2 損害賠償や補償に発展することも
不正アクセスによって被害が発生すると、そのアカウントのユーザーからサイト運営者に対して損害賠償や補償を求められる可能性があります。被害規模が大きい場合は、事業に大打撃を与えるほどの額を支払うことになるかもしれません。
3 サービスや会社の信用低下につながる
パスワードクラックの被害を受けるということは、サイトのセキュリティ対策が甘かった、という評価に繋がります。サイトはもちろん会社としての信用まで失ってしまう可能性があります。
パスワードクラックの手口5点
1 パスワードリスト攻撃(アカウントリスト攻撃)
パスワードリスト攻撃とは、攻撃者が別のサービスから入手したID・パスワードのリストでログインを試みる手口です。同じIDとパスワードを複数サイトで使い回しているユーザーが多いため、どれか1つのID・パスワードが分かれば別サイトでもログインされてしまうのです。
2 ブルートフォースアタック(総当たり攻撃)
ブルートフォースアタックとは総当たり攻撃とも呼ばれ、ひとつのIDに対してあらゆるパスワードをすべて試す手口です。文字数が少なかったり何らかの単語だったりと、推測しやすいパスワードを設定しているとログインされてしまう危険性があります。
もしブルートフォースアタックでパスワードを突き止められてしまうと、他のサイトで同じパスワードを使い回していたら、そのまま別のサイトにもログインされてしまうことにもつながりかねません。
3 リバースブルートフォースアタック(逆総当たり攻撃)
リバースブルートフォースアタックとは、ひとつのパスワードに対してあらゆるIDを試す手口です。ブルートフォースアタックの派生型と言えます。この手口はパスワードの入力回数は1回だけとなるため、パスワードの入力回数制限が適用されない点がポイントです。
4 辞書攻撃
辞書に載っている単語や人名など、意味のある言葉をパスワードとして入力する手口です。単語や人名は覚えやすいというメリットがあるため、パスワードに使われやすい傾向があります。意味のある言葉をパスワードに設定しているユーザーが一定以上いることから、その傾向を狙った攻撃方法です。
5 パスワード類推攻撃
電話番号や生年月日、誕生日などユーザーに関わりのありそうな情報をパスワードとして入力する手口です。ユーザーにとって覚えやすい数列や文字列をパスワードに設定しているアカウントを狙う点で、辞書攻撃と同じタイプの攻撃と言えます。
パスワードクラックへの対策
パスワードクラックの手口を踏まえて、攻撃の対策方法を解説します。サイト運営者側とユーザー側でそれぞれ異なるため、サイトの改修方針とユーザーへの注意喚起の参考にしてください。
事業者側でできること5点
1 多段階認証を実装する
多段階認証とは、IDとパスワード以外にもログインに必要な認証を追加する方式です。ワンタイムパスワードや画像認証、携帯電話の番号を登録してもらって認証コードをSMSで送るなどの方法があります。万が一パスワードが知られてしまっても、多段階認証をクリアしないとログインされません。
2 ログイン回数に制限をつける
一定回数パスワードを間違えるとログインできなくなる仕様にすれば、攻撃者はパスワードを何回も試すことができなくなります。ユーザーも入力ミスなどでパスワードを間違えると制限を受けるため、パスワードは間違いに注意して入力してもらうよう伝えましょう。
3 パスワード設定時に安全度を示す
アカウント登録時のパスワード設定で、文字数が少なかったり推測しやすかったりなど、安全性の低いパスワードを設定しようとしているユーザーに対して、危険であることを警告しましょう。
4 ユーザー情報を暗号化する
ユーザー情報を平文(暗号化されていない状態)でサーバーに保存しておくと、もしその情報が漏洩したら他人がユーザー情報を読めてしまいます。それを防ぐ方法がデータの暗号化です。暗号化されたデータを元に戻すには鍵が必要なため、第三者には暗号化されたデータを読むことはできません。
5 サイトへの攻撃をいち早く察知できるようにする
パスワードクラックのような不自然なアクセスが発生したら、サイト管理者へ速やかに知らせがいく体制を整えておきましょう。アクセス遮断などの対策を素早く行えば、被害を未然に防ぐことができます。
ユーザー側にお願いしたいこと4点
1 複雑なパスワードを設定
複雑なパスワードとは、以下の条件に当てはまるものを指します。複数の条件に当てはまるほど安全なパスワードと言えるため、アカウント作成時のパスワード設定画面でユーザーに明示しましょう。
- 他のサイトで使っているパスワードの使い回しではない
- 数字と英字の両方が使われている
- 文字数と桁数が多い
- 大文字と小文字が混在している
- 意味のないランダムな文字列になっている
- 住所や年齢、生年月日などと関連性がない
2 パスワードを使い回さない
複数のサイトでパスワードを使い回している人は多く、どこか1箇所から漏洩したらそのまま他のサイトにもログインできてしまうケースが多くあります。異なるパスワードを管理して使い分けることはユーザーにとって負担がかかるため、パスワード管理ツールなどを紹介するなどのフォローも同時に行うことをおすすめします。
3 他人に見られる場所でパスワードを入力しない
パスワード入力フォームは文字列を表示しない仕様になっていますが、キー入力の手元を見ればどの文字を入力したかが分かってしまいます。アナログな方法ですが、そこからパスワードを知られる危険性があるのです。他人の目がある場所でのログインには注意を払うようアナウンスしましょう。
4 定期的にパスワードを変更
パスワードを定期的に変更しておいてもらえれば、万が一流出しても変更前のパスワードなら不正ログインされずに済みます。英数字をランダムに組み合わせたパスワードを自動で生成してくれるツールを使えば、新しいパスワードを考える手間を省けます。
セキュリティレベルを高めてパスワードクラックを防ごう
パスワードクラックなどの攻撃を防ぐため、Webサイトに求められるセキュリティレベルは高まっています。サイト運営者はサイトの利便性だけを重視せず、セキュリティレベルの高いサイトを設計することが大切です。また、より高いセキュリティ対策をするならワンタイムパスワードがおすすめです。各製品について詳しく知りたい場合は、ぜひ資料を請求してみてください。
