パスワードクラックとは？攻撃の種類や防御対策を解説

パスワードクラックとは

パスワードクラックとはどのような攻撃でしょうか。その意味や脅威について解説します。

パスワード管理の甘さが招くパスワードクラック

パスワードクラック（パスワードクラッキング）とは、データの分析（攻撃）によってパスワードを不正に割り出すことです。

近年、個人情報の流出やサイト改ざんなどの被害が増えています。これらの被害が起きる最大の原因はWebサービス利用者のパスワード管理の甘さです。誕生日、簡単な英単語のようなすぐに解読されるようなパスワードや、複数のWebサービスで一つのパスワードを使い回すなどパスワードに対する危機意識が低いユーザーが増えるにつれ、被害も大きくなっていきます。

会員サイトには必ず潜むパスワードクラックの脅威

個人が利用するSNS、ブログ、動画共有サービスなどはもちろん、企業が自社サイト構築に利用するCMSなどのシステムも、パスワードクラックのターゲットとなります。

ポイントカード会員サイト、書籍販売サイト、鉄道会社の会員サイトなど多くのネットショップや会員サイトで、パスワード認証による不正ログイン被害が後を絶ちません。また企業サイトの構築においてよく利用されているWordPressへのパスワードクラックも起きており、サイトを改ざんされるケースもあります。

パスワードクラックの種類と防御対策

では次に、パスワードクラックの種類と対策について解説していきます。

すべてのパスワードパターンを試す「総当たり攻撃」

英数字や記号、もしくはそれらを合わせたパスワードのすべてのパターンを入力し解読する方法です。時間はかかりますが、逆に時間の制約がなければほぼ100%の確率でパスワードは解読されます。

防御対策としてはパスワードの文字数を増やす、英数字や記号どちらかではなくすべての文字種を混在させるといった方法があります。

登録された単語を利用する「辞書攻撃」

以前はパスワードを４文字で設定するといったWebサービスも少なくありませんでした。しかし最近ではパスワードクラック対策として８文字から32文字といった長めの設定が増え、総当たり攻撃は効率が悪いということで考案されたのが辞書攻撃です。

この攻撃はユーザーがパスワードで使いそうな単語を辞書として登録し、その辞書を使い不正ログインを試みます。

防御対策としてはアカウントロックが有効です。パスワード入力に連続して失敗するとそのアカウントを一定時間ロックし、ログインできなくしてしまう方法です。

ただしこの方法は正規のユーザーがパスワードを忘れて何回かログインしようとした場合にもロックがかかってしまうため、２〜３回ではなく５回以上にするなど工夫が必要です。

逆総当たり攻撃と呼ばれる「リバースブルートフォース攻撃」

日本語で逆総当たり攻撃とも呼ばれる攻撃で、１つのパスワードでIDを次々と変え不正ログインを試みる攻撃です。この攻撃は一つのアカウントに対し１回しか仕掛けないため、アカウントロックは使えません。

そこで防御対策としてパスワード登録時に、パスワード辞書によって強度を確認するパスワードチェッカーを導入しましょう。辞書攻撃で使われる辞書を逆にパスワード強化のために利用することで、よくあるパスワードで登録してしまう危機を回避させます。

完璧な対策はないからこそ二段階認証を！

すべての攻撃に対する共通の防御対策として、長い文字列かつ２つ以上の文字種で使い回しでないパスワードの設定を促すことが必要です。そのうえでアカウントロックや強化チェッカーなどを必要に応じて設定します。さらにワンタイムパスワードによる二段階認証を導入することで、より安全性が増すでしょう。

以下の記事ではワンタイムパスワードを導入するためのツールを紹介していますので、こちらもぜひご覧ください。

関連記事

watch_later 2020.10.28

クラウド・オンプレミス型ワンタイムパスワード製品比較９選！選び方も解説

続きを読む ≫