辞書攻撃

辞書攻撃の定義

辞書攻撃は、よく使われる単語やその簡単な変形パターンを順に試すことでパスワードを推測する手法です。この攻撃の名称は、攻撃者が頻繁に使用されるパスワード、ペットの名前、フィクションのキャラクター、あるいは辞書にある単語などを網羅したリストを用いる点に由来します。また、文字を数字や記号に置き換える（例: "p@ssword"）場合もあります。

この手法は、オンラインアカウントへの不正アクセスだけでなく、ファイルの復号にも使われ、より深刻な問題を引き起こします。多くの人はメールやソーシャルメディアのアカウント保護に努めますが、他者と共有するファイルには日常的な簡単な単語が使われがちです。これらのファイルが安全でない通信路で送信されると、容易に傍受され、辞書攻撃でパスワードが解かれてしまう恐れがあります。

ここで強固なパスワード条件を示します：

• 12文字以上であること。
• 小文字と大文字が混在していること。
• !, @, #, ? などの特殊文字を少なくとも1つ含むこと。
• 数字を最低1つ含むこと。

このような認証情報は確かに入手が非常に難しいため、こうした条件は利用者にとって好まれないケースが多いです。

辞書攻撃はどのように機能するのか？

ネットワーク、アプリ、または暗号化されたファイルへアクセスするため、攻撃者はリストにある様々な単語をパスワードとして何度も試みます。辞書攻撃はオンライン、オフラインの両方で実施されます。

不正な利用者が何度もログインを試みたり、偽装してアクセスを得ようとすることでサイバー攻撃は発生します。攻撃者がありうるパスワードのリストを持っていれば、攻撃はより効果的になります。しかし、攻撃が長引けば、システム管理者や正当な利用者に気付かれる恐れがあります。

オンライン攻撃ではネットワークの遅延により試行回数に限界がある一方で、オフライン攻撃にはそのような制約がありません。オフライン攻撃は、狙ったネットワークのパスワードリストファイルを入手する必要があるため、オンライン攻撃よりも複雑です。正しいパスワードを得れば、発見されずにアクセス可能となります。

‍

辞書攻撃の効果は？

この攻撃の成功は、対象となるシステムのパスワードの強度に依存します。弱いパスワードが依然として多く使われているため、サイバー犯罪者にとっては有効な手法となっています。しかし、個人だけでなく、さまざまな利用者が不十分なパスワードの影響を受けています。

人々はパスワードを使い回したり、一部だけ変更する傾向があるため、この攻撃は実施が容易で、十分な時間と試行があれば成功しやすいです。2019年の Verizon Data Breach Investigations Report (DBIR)では、ハッキング関連事案の80％が盗まれた、または再利用された認証情報に起因していると報告されています。

Balbix State of Password Use Report 2020によれば、利用者の99％がパスワードを再利用しており、平均すると仕事用、個人用、社内用で8つのパスワードが使われています。

Security.orgによるオンラインパスワード戦略調査では、回答者の約70％が新しいパスワードを設定する際、既存のものを変更していると回答しました。

YubicoとPonemonが発表した2019年のパスワードおよび認証セキュリティ行動報告によると、従業員の69％がパスワードを共有しており、さらに利用者の半数以上が一度問題が発生してもパスワードの運用方法を変更していないことが明らかになりました。

『Password』『12345』『QWERTY』などのパスワードが長年に渡りリスト上位に存在しているのは、何度も警告されても弱く推測されやすいパスワードが使われ続けている現状を示しています。

一般的な名前、動物、また『I love you』や『let me in』のような基本的なフレーズも頻繁に含まれます。特にチーム名がパスワードリストに現れることが多いことから、英国国家サイバーセキュリティセンター（NCSC）は、サッカー支持者に自分の好きなチーム名をパスワードにしないよう促すブログを最近公開しました。

‍

辞書攻撃の事例

実際に見られる典型的な辞書攻撃の事例は以下の通りです：

• あるウェブサイトでは、パスワードの文字数や複雑性の要件が不十分なため、一部の利用者が「abc123」や「987654」のような非常に推測しやすいパスワードを選びます。こうしたアカウントは、辞書攻撃で最初に狙われる傾向があります。
• プログラマーが、連続した誤ったユーザー名やパスワードの試行によるロックアウトを回避する方法を考案する場合もあります。一度ハッカーがウェブサイトに侵入すると、ランダムなパスワードジェネレーターで他のユーザー名やパスワードの変種を予測することが可能です。

辞書攻撃と総当たり攻撃の違い

パスワードの組み合わせ数を試す方法が、総当たり攻撃と辞書攻撃の主な違いです。

総当たり攻撃

総当たり攻撃では、すべての可能なパスワードを体系的に試す手法が用いられます。そのため、完遂にはかなりの時間がかかる場合があります。

5桁の暗証番号ロックは、この違いを説明する技術的でない例です。総当たり攻撃では、攻撃者は0から9の数字を用いた全ての組み合わせ、計10万通りを試みます。

辞書攻撃

システムに侵入する際、攻撃者はあらかじめ用意した可能性のある認証情報のリストを利用します。総当たり攻撃と比べ、こちらはより狙いを定めた手法です。あらゆる組み合わせを試すのではなく、リスト内のパスワードを順に試していきます。

動的なパスワード（例: "00000"）や、固定のパスワード（例: "12345"）も対象となりますが、もし5桁の組み合わせが特にユニークであれば辞書攻撃で予測するのは難しいでしょう。同様に、フィッシング攻撃と並んで、辞書攻撃は被害者の多くが弱いパスワードや5桁のみのパスワードを使用するという前提に立っています。

辞書攻撃からどう守るか

以下のガイドラインに従えば、辞書パスワード攻撃から自社を守るのは比較的容易です。

• パスワードを廃止する

パスワードの使用をなくすことが、パスワードに基づく攻撃を防ぐ唯一の方法です。パスワードレス認証について詳しく調べ、最も重要なアプリの安全を確保してください。

• 安全なパスワードジェネレーターを選ぶ

ChromeやSafariなどのブラウザには、パスワード自動生成機能が備わっています。これらは、ランダムに文字、数字、特殊文字を組み合わせ、解読が極めて難しいパスワードを生成します。

• 推測されやすい単語や数字は避ける

誰にでも思い浮かぶ単語や、連続した数字・文字（例: abc、123）をパスワードとして使用しないでください。こうしたパスワードは辞書攻撃で容易に破られてしまいます。

• 生体認証が利用可能なら採用する

生体認証は、貴社のアカウントの安全性を向上させるシンプルな方法です。多くのモバイルアプリでは、端末の顔認証や指紋などの生体認証機能を活用してログインを実現していますが、ウェブサイトではあまり見られません。

• 定期的にパスワードを変更する

多くのセキュリティ専門家は、3〜6ヶ月ごとにパスワードを変更することを推奨しています。一部のウェブサイトやソフトでは、決まった期間（通常は年に一度）での変更が求められることもあります。

パスワードの使用を排除することで、辞書攻撃を防ぐのは容易です。