パスワードクラックとは？攻撃の種類や防御対策を解説！

パスワードクラックとは

パスワードクラックとはどのような攻撃でしょうか。その意味や脅威の身近さについて解説します。

パスワード管理の甘さが招くパスワードクラック

パスワードクラック（パスワードクラッキング）とはデータの分析（攻撃）によってパスワードを不正に特定することです。

近年、ユーザーの個人情報の窃盗やサイト改ざんなどの被害は増えています。これらの被害が起きる最大の原因はWebサービス利用者のパスワード管理の甘さです。誕生日、簡単な英単語のようなすぐに解読されるようなパスワードや、多くのWebサービスで一つのパスワードを使い回すなどパスワードに対する危機意識が低いユーザーが増えるにつれ、被害も大きくなっていきます。

会員サイトには必ず潜むパスワードクラックの脅威

個人ユーザーが利用するSNS、ブログ、動画共有サービスなどはもちろん、企業が自社サイト構築に利用するWordPressなどのCMSまで、攻撃者にとってパスワードを使いログインするサービスはすべてがターゲットとなります。

これまでもポイントカード会員サイト、書籍販売サイト、鉄道会社の会員サイトなど多くのネットショップや会員サイトでパスワード認証による不正ログイン被害が後を絶ちません。また企業サイトの構築でも多く利用されているWordPressへのパスワードクラックによるサイト改ざんも頻繁に起こっています。

パスワードクラックの種類と防御策とは

これまでパスワードクラックの意味や身近さについて解説してきました。それでは次に、パスワードクラックの種類と対策について解説していきます。

すべてのパスワードパターンを試す総当たり攻撃

数字や英記号、もしくはそれらを合わせたパスワードのすべてのパターンを入力し解読する方法です。時間はかかりますが、逆に時間的制約がなければほぼ100%の確率でパスワードは解読されます。

防御対策としてはパスワードの文字数を増やす、数字や英記号どちらかではなくすべての文字種を混在させるといった方法があります。

登録された単語を利用する辞書攻撃

以前はパスワードを4文字で設定するといったWebサービスも少なくありませんでした。しかし最近ではパスワードクラック対策として8文字から32文字といった長めの設定が増え、総当たり攻撃は効率が悪いということで考案されたのが辞書攻撃です。

この攻撃はユーザーがパスワードで使いそうな単語を辞書として登録し、その辞書を使い不正ログインを試みます。

防御対策としてはアカウントロックが有効です。パスワードの入力が連続して失敗するとそのアカウントを一定時間ロックしログインできなくしてしまう方法です。

ただしこの方法は仮に正規のユーザーがパスワードを忘れて何回かログインしようとした場合にロックがかかってしまう可能性があるため、2〜3回ではなく5回以上にするなどある程度多めの回数に設定する必要があります。

逆総当たり攻撃と呼ばれるリバースブルートフォース攻撃

日本語で逆総当たり攻撃とも呼ばれる攻撃で、1つのパスワードでIDを次々と変え不正ログインを試みる攻撃です。この攻撃は一つのアカウントに対し1回しか仕掛けないため、アカウントロックは使えません。

そこで防御対策としてパスワード登録時にパスワード辞書によって強度を確認するパスワードチェッカーを導入します。辞書攻撃で使われる辞書を逆にパスワード強化のために利用することで、よくあるパスワードで登録してしまう危機を回避させます。

完璧な対策はないからこそ二段階認証を！

すべての攻撃に対する共通の防御対策として、基本的には長く2つ以上の文字種で使い回しでないパスワードの設定を促すことが最低条件であるといえます。その上でアカウントロックや強化チェッカーなどを必要に応じて設定します。さらにワンタイムパスワードによる二段階認証を導入することでより安全性が増すことが可能になります。

また以下の記事ではワンタイムパスワードを利用した二段階認証のメリットについて詳しく解説しています。パスワードクラック対策を強化したい方は参考にしてください。

▼あわせて読みたい！
参考記事：ワンタイムパスワードが持つ3つのメリット