パスワードは、どのように悪用されるのか？――サイバー犯罪者がパスワードを盗む5つの手口とその対策

ソーシャルエンジニアリングからショルダーハッキングまで、攻撃者がパスワードを盗む手口を解説する。

この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

パスワードの概念は数世紀前から存在し、想像以上に早くからコンピューターの世界にも導入された。パスワードが長く使われ続けている理由の1つとして、人々が本能的にその仕組みを理解できる点が挙げられる。パスワードは、デジタル時代を生きる人々にとってアキレス腱のような存在だ。平均的な人でも100のログイン情報を保有しており、それは上昇傾向にある。パスワードを乱雑に扱う人が増え、結果としてセキュリティに問題が生じるのもなんら不思議なことではない。

パスワードは、サイバー犯罪者が個人情報や決済情報を入手する際の唯一の手段であるため、彼らはログイン情報の窃取や解読に躍起になっているのだ。私たちは、オンラインアカウントを保護するために、少なくとも同程度の労力を費やす必要がある。

パスワードは、どのように悪用されるのか？

パスワードはデジタル世界において仮想的な鍵のような役割を果たす。オンラインバンキング、電子メール、ソーシャルメディア、NetflixやUberのアカウント、そして、クラウド上に保管されたデータなどへのアクセスを可能にする。パスワードを盗んだ場合、サイバー犯罪者は以下のようなことができる。

個人情報を盗み、ほかの犯罪者へ売却する
アカウントのログイン情報を販売する。ダークウェブなどの違法なWebサイトでは、こうした情報が活発に売買されている。悪意のある購入者は、なりすましによってタクシーの無料乗車券や動画視聴、乗っ取ったマイレージプログラムによる割引航空券など、あらゆるものを入手可能だ。
同じパスワードが使い回されている場合、ほかのアカウントへ不正アクセスするのにパスワードを再利用する。

サイバー犯罪者はどのようにしてパスワードを盗むのか？

サイバー犯罪の典型的な手法を知っておくことで、脅威への対処が格段に向上する。

1) フィッシングとソーシャルエンジニアリング

人は誤りを犯しやすく、暗示にかかりやすい生き物だ。また、急かされると間違った決断を下しがちだ。サイバー犯罪者は、こうしたウィークポイントを突いてくる。例えば、ソーシャルエンジニアリングは心理的なトリックで間違った行動を誘発させる手口だ。フィッシングは最も代表的な手口と言える。この場合、攻撃者は友人や家族、取引先などになりすます。受信した電子メールやテキストメッセージは本物らしく見えるが、悪意のあるリンクや添付ファイルが含まれており、クリックしてしまうとマルウェアがダウンロードされたり、個人情報を入力するページへ誘導させられたりする。

以前に解説したように、フィッシング攻撃の兆候を見分ける方法は多い。サポート窓口になりすますなどして、ログイン情報や個人情報を直接聞き出すよう、電話を用いる場合さえある。これは「ヴィッシング（音声によるフィッシング）」と呼ばれる手法だ。

2) マルウェア

パスワードを入手する方法として、マルウェアの活用も挙げられる。フィッシングメールは、こうした攻撃のための常套手段だ。ほかにも、悪意のあるオンライン広告をクリックしたり（マルバタイジング）、不正なWebサイトを訪問した際（ドライブバイダウンロード）にマルウェアに感染するケースがある。ESET社の研究者Lukas Stefankoが何度も実証しているように、本物のように見えるものの、マルウェアが潜むモバイルアプリがサードパーティのアプリストアで見つかることも多い。

情報を詐取するマルウェアにはさまざまな種類が存在するが、頻繁に用いられる手法として、キー入力を記録したり、デバイスのスクリーンショットを撮影するなどして、攻撃者へ転送するものが知られている。

3) ブルートフォース攻撃

2020年のある調査では、一般的な人が保有するパスワードの数は前年比25%増と推定されている。覚えやすい（そして推測されやすい）パスワードを設定する人が多く、結果として、複数のWebサイトでパスワードの使い回しが起きているため、ブルートフォース攻撃の被害に遭うリスクが高まってしまうのだ。

クレデンシャルスタッフィング攻撃も頻繁に見られる。この手口では、過去に漏えいした大量のユーザー名とパスワードの組み合わせを自動ソフトウェアに読み込ませる。そして、無数のWebサイトに対し、正しいユーザー名とパスワードの組み合わせを見つけようと、試行を続けるのだ。攻撃者は1つのパスワードで複数のアカウントへ不正アクセスできてしまう可能性がある。実際に昨年、全世界で1,930億回もの試行がなされたという調査がある。その被害者の1つはカナダ政府だ。

カナダデジタル政府
1/5 GCKeyとCRAに仕掛けられたクレデンシャルスタッフィング攻撃へ対応を講じている

ブルートフォース攻撃の1つとして、パスワードスプレー攻撃も知られている。よく使われているパスワードの一覧を作成し、自動ソフトウェアでアカウントへの不正アクセスを試みるものだ。

4) 推測による攻撃

ブルートフォース攻撃には自動化ツールが使われているが、それさえも必要としない場合もある。ブルートフォース攻撃のような体系的な手法とは異なり、単なる当てずっぽうで十分な場合もあるのだ。2020年に最も使われていたパスワードは「123456」、続いて「123456789」であった。そして4位にランクインしたのは、単に「password」という文字列であった。

多くの人がしているように、複数のアカウントで同じパスワードを使い回していたり、それに近しい文字列を使っている場合、攻撃がさらに容易となり、個人情報の窃取や詐欺のリスクは高まってしまう。

5) ショルダーハッキング

ここまで見てきたパスワード漏えいの手口は、すべてオンライン上で行われるものだった。しかし、ロックダウンが緩和されて従業員がオフィスに戻り始めると、度々使われてきたオフラインの詐欺手口による被害リスクが高まっている点も忘れてはならない。肩越しに覗き見るショルダーハッキング（ショルダーサーフィンとも言う）のリスクはその例だ。ESET社のJake Mooreの実験で、単純な方法によって容易にSnapchatのアカウントへ不正アクセスされる可能性が示されている。

より高度な手法としてWi-Fiネットワークを盗聴する「中間者攻撃」がある。公共のWi-Fi接続を監視する攻撃者が、同ネットワークに接続した人がパスワードを入力するのを覗き見るものだ。いずれの方法も数年前から存在するものだが、いまだに脅威となっている。

ログイン情報を保護するには

先述の手口から身を守る手段は多い。二要素認証を有効にする、効果的にパスワードを管理する、はじめから盗難を防ぐよう対策を講じておく、といったものがあるが、以下のような対策を検討してほしい。

すべてのオンラインアカウント、特にオンラインバンキング・電子メール・ソーシャルメディアでは、複雑でユニークなパスワードやパスフレーズを設定する。
複数のアカウントでログイン情報を使い回さず、よくあるパスワード設定の誤りを避ける。
すべてのアカウントで二要素認証（2FA）を有効にする。
すべてのWebサイトとアカウントにおいて、複雑でユニークなパスワードを設定しながらも、ログインを簡単で安全にできるよう、パスワードマネージャーを使用する。
データが漏えいしているかもしれないと連絡を受けたら、パスワードをすぐに変更する。
ログインする際は、HTTPSを使っているWebサイトのみを使用する。
見知らぬ送信元から届いた電子メール内のリンクをクリックしたり、添付ファイルを開いたりしない。
公式のアプリストアのみからアプリをダウンロードする。
すべてのデバイスで信頼できるベンダーのセキュリティ製品を導入する。
すべてのオペレーティングシステムとアプリケーションを最新の状態に保つ。
公共の場では、ショルダーハッキングに注意する。
公共のWi-Fiではアカウントにログインしない。必要な場合、VPNを利用する。

パスワードの終焉は10年以上前から予測されてきた。しかし現段階では、代替技術はパスワードに置き換わるほどではなく、ユーザー自身が対処せざるを得ない状況が続いている。ログイン情報を安全に保つよう、十分に注意してほしい。

引用・出典元

■5 ways hackers steal passwords (and how to stop them)　by Phil Muncaster 5 Jan 2022 - 11:30 AM
https://www.welivesecurity.com/2022/01/05/5-ways-hackers-steal-passwords-how-stop-them/