WEBサービスを利用しているとどうしても避けられないのがIDとパスワードの管理になります。IDとパスワードの管理は、数が増えれば増えるほど煩雑になり、パスワードの使いまわしをしてしまっている方もおられるのではないでしょうか。
シンプルなパスワードは覚えやすいという良いところがある反面、攻撃手法によってはあっさりと不正アクセスされてしまう可能性があります。
今や生活にかかせなくなったWEBサービスに不正アクセスをされてしまうと、本当に様々な被害に合う可能性があります。個人情報を知られてしまうだけでも気味が悪いという人もいるでしょうし、経済的な被害に合うこともあります。
現に有名人のSNSのアカウントに不正アクセスがされたり、ECサイトを勝手に利用されて買い物をされてしまったというニュースを耳にされたことがあるのではないでしょうか。
このページでは、WEBサービスにログインする際のIDとパスワードの管理について、どのようなパスワードクラック・攻撃手法があるのかを紹介します。
Contents
パスワードクラック・攻撃手法一覧
辞書攻撃
人がパスワードを設定する時には、覚えやすいように意味を持たせることが多いです。
その傾向を利用して、辞書に載っている単語を全てぶつけていくという攻撃手法になります。
ブルートフォースアタック・リバースブルートフォースアタック
総当たり攻撃と言われるもので、A~Z・0~9までの組み合わせを順にぶつけていく手法です。
ブルートフォースアタックの場合は、ID欄に入力したものを固定してパスワード欄に対して総当たり攻撃を実行しするのに対して、リバースブルートフォースアタックの場合はパスワード欄に入力したものを固定してID欄に対して総当たり攻撃を実行するという違いがあります。
パスワードリスト攻撃
一つのWEBサービスから漏れてしまった、IDとパスワードを他のWEBサービスでもログインできるか試みる攻撃手法です。
IDにはメールアドレスが使われていることも多く、パスワードの使いまわしをしているとこの被害に合いやすいです。
パスワード類推攻撃
本人の名前や生年月日などからパスワードを考えてログインできるか試みる攻撃手法です。
不特定多数の人間を対象にするというより、特定した個人に対して攻撃されるケースが多いようです。個人の生年月日などを公に公開している、有名人のSNSなどの不正アクセスや乗っ取りにはこういった手法が使われている可能性があります。
パスワードクラック・攻撃の被害に合わないために
ご紹介したようなパスワードクラック・攻撃手法の被害に合わないためにどのような対策をとることが出来るでしょうか。
パスワードを複雑にする
WEBサービスによっては会員登録をする際に、複雑なパスワードを設定するように、推奨するだけではなく複雑なパスワードでなければ登録できないように具体的に条件が指定されている場合もあります。少なくとも大文字・小文字・数字・記号(ー)を含めるようにさせるなどですね。
ログインブロックを設定する
複数回ログインに失敗した際に、一定の時間ログインできないように設定することで、ログインを何度も試みるのに時間をかけさせることができます。
たいていのパスワードクラック・攻撃手法はシステムを利用して自動で不正アクセスを試みてきますので、そういった点でもログインブロックを設定するというのは有効でしょう。
利用されているWEBサービスによっては設定などできないこともあるかもしれません。
二段階認証やワンタイムパスワードなどを導入する
二段階認証やワンタイムパスワードを設定しておくのもとても有効です。パスワードの入力だけではなく、携帯電話やスマートフォンのSMSサービスに暗証番号を通知させることや、生体認証(指紋や脈)でのパスワードロックを設定をすることで、WEBサービスにログインするパスワードが万が一攻撃者に漏れてしまっても、ログインすることはできません。