Skilled は Vue.js のオフィシャルパートナーです

ITパスポートYuya

【技術的脅威】サイバー攻撃の種類 パスワードクラック編 – 辞書攻撃・総当たり攻撃・パスワードリスト攻撃 – 見るだけで受かるITパスポート講座【情報セキュリティ】

サイバー攻撃の種類 パスワードクラック クラッキング ハッキング ITパスポート 試験 資格 Iパス 解説

 

この記事は就活や転職にも役立つ資格、「ITパスポート」についての解説記事です。

今回は情報セキュリティを理解するために、試験範囲の”テクノロジー系 セキュリティ”に位置づけられるテーマについて、現役エンジニアの著者が分かりやすく解説していきます。

今回は、「技術的脅威 サイバー攻撃 -パスワードクラック- 」というテーマの記事となっています。

この記事では、パスワードクラックに用いられる手法

  • 辞書攻撃
  • 総当たり(プルートフォース)攻撃
  • パスワードリスト攻撃

について取り上げます。

記事の後半では過去にITパスポートに実際に出題された問題も取り扱っていますのでぜひ最後まで目を通してみてください。

 

パスワードクラック

パスワードクラック クラッキング

サイバー攻撃は悪意を持った第三者がパソコンやスマートフォン等のデバイスに対してインターネットを通じてデータを破壊したり、盗んだり、改竄したりする行為をサイバー攻撃といいます。

サイバー攻撃の攻撃手法には種類がありますが、この記事では他人のパスワードを割り出す攻撃、パスワードクラックの具体的な手法について解説していきます。

パスワードクラックの中にも複数の種類がありますが、今回は辞書攻撃、総当たり(プルートフォース)攻撃、パスワードリスト攻撃の3つについて取り上げていきます。

辞書攻撃

辞書攻撃 よく使用される パスワード クラッキング

辞書攻撃とは、単語や、人名録、パスワードによく使われることが多い文字列を大量に登録された辞書ファイル等を用いて、その辞書に乗っている言葉を1つずつ試していくことでパスワードを割り出す攻撃を指します。

パスワードを忘れないように、一般的に使われる単語や人物名等、覚えやすいパスワードを設定している場合も多く、そういったケースを想定した攻撃手法です。

パスワードを設定する際に、想像しやすいパスワードを避ける事といった注意がされるのはこの辞書攻撃への対策の意味もあります。

辞書攻撃 簡単な文字列 パスワード クラッキング 突破 複雑

一般的な単語や人名など想像しやすいフレーズは使わずにランダムな文字や数字からパスワードを設定する事が辞書攻撃への有効な対策となります。

辞書攻撃は、当たり前ではありますが、人間の手でひとつひとつ入力するわけではなく、コンピュータを使って行われますので、簡単なパスワードを設定していると数秒で突破されてしまいます。

実際に辞書攻撃を使ってパスワードの突破を検証した記事を貼っておきますので、もう少し具体的に知りたいという方はそちらを是非ご覧ください。

ZIPファイルのパスワード解読をやってみたら簡単すぎた【真似厳禁】

 

総当たり(ブルートフォース)攻撃

総当たり攻撃 ブルートフォース リバースブルートフォース ブルートフォースアタック 不正ログイン パスワードクラッキング ハッキング

総当り攻撃、または英語で、ブルートフォースアタック(Brute Force Attack)と呼ばれるパスワードクラッキング手法は、特定IDに対して考えられる全ての文字の組み合わせを片っ端から全て総当り試す方法のことです。

また、ブルートフォースアタックの逆で、パスワードを固定にして、IDとして使える全ての文字の組み合わせを試す手法をリバースブルートフォースアタックと呼びます。

ブルートフォースアタックは全ての組み合わせを1つ1つ試すので、パスワードの桁数が増えれば、それに比例して解読に時間がかかります。

4桁のパスワードの場合、普通の性能のコンピュータでも数秒あれば突破できてしまいますが、8桁になると数年かかると言われています。

ブルートフォースアタック 総当たり攻撃 対策 ログイン試行回数 回数制限 ログイン

また、ログインを何度も試みてパスワードを割り出しますので、システム運営者側は対策としてログイン試行回数を制限する事も有効な対策のひとつとなります。

  • パスワードの桁数を8桁以上にする
  • システムへのログイン試行回数を制限する

という対策がブルートフォースアタックには有効ですので覚えておきましょう。

実際にブルートフォースアタックを行ってパスワードの桁数が変わると解読までにどれくらいの時間が変わるのか検証した記事を貼っておきますので、具体的に知りたいという方はそちらを是非ご覧ください。

パスワードは何桁が最適?クラッキングして解読時間を比較してみた【10秒で解読】

 

パスワードリスト攻撃

パスワードリスト攻撃 ID パスワード 同じ 情報漏洩 使い回し パスワード変更

攻撃者がどこかで入手したID・パスワードのリストを使って、正規ルートから不正アクセスを試みる行為をパスワードリスト攻撃と呼びます。

パスワードの管理が複雑になる事を嫌がって複数のWebサイトやシステムで同じIDやパスワードを使いまわしている方が多いです。

複数のサイトで同じIDとパスワードを使っていると、どこかのサイトでセキュリティ事故が発生しID・パスワードが流出した際にパスワードリスト攻撃によって他のサイトにもログインされてしまう危険性があります。

ID・パスワードは他のサイトで使い回さない事がパスワードリスト攻撃に対して有効な対策となります。

 

試験対策まとめ

今回の記事の要点を、試験対策用にまとめました。

  • 辞書攻撃は、一般的な単語や人物名が大量に登録された辞書を使ってパスワードを割り出す手法
  • 総当り攻撃又はブルートフォースアタックは、特定のIDに対して考えられる全ての文字の組み合わせを試す手法
  • リバースブルートフォースアタックは、ブルートフォースアタックの逆で、特定のパスワードに対して考えられる全ての文字の組み合わせを試す手法
  • パスワードリスト攻撃は、既に入手済みのパスワードを他のWebサービス等で試してパスワードを割り出す手法

今回はこの4点を押さえておきましょう。

 

ITパスポートの過去問で実践

それでは実際にITパスポートで出題されたサイバー攻撃に関する問題を解いてみましょう。

平成29年春期

あるWebサイトからIDとパスワードが漏えいし,そのWebサイトの利用者が別のWebサイトで,パスワードリスト攻撃の被害に遭ってしまった。
このとき,Webサイトで使用していたIDとパスワードに関する問題点と思われる記述はどれか。

  • ア IDとパスワードを暗号化されていない通信を使ってやり取りしていた。
  • イ 同じIDと同じパスワードを設定していた。
  • ウ 種類が少ない文字を組み合わせたパスワードを設定していた。
  • エ 短いパスワードを設定していた。

 

インターネットユーザーはパスワードの管理が複雑になる事を嫌がって、同じIDとパスワードを複数のサイトで使いまわしている事が多いです。

それを悪用してあるサイトへの攻撃で入手したID・パスワードのリストを使用して別のサイトへログインを試みる攻撃手法が、パスワードリスト攻撃です。

パスワードリスト攻撃への有効な対策は、複数のサイトで同じIDと同じパスワードを使い回さない事です。

したがって答えは「イ」となります。

 

平成29年春期

Webサーバの認証において,同じ利用者IDに対してパスワードの誤りがあらかじめ定められた回数連続して発生した場合に,その利用者IDを自動的に一定期間利用停止にするセキュリティ対策を行った。

この対策によって,最も防御の効果が期待できる攻撃はどれか。

  • ア ゼロディ攻撃
  • イ パスワードリスト攻撃
  • ウ バッファオーバフロー攻撃
  • エ ブルートフォース攻撃

 

ブルートフォースアタックは特定のIDに対して、考えられる全ての文字列の組み合わせを試してパスワードを割り出す攻撃手法です。

手当り次第、1つ1つ全て試す為、何度もログインを試行する事になります。

サイトやシステム側でログイン回数に制限を設ける事で、手当たり次第にログインを試せなくなりブルートフォースアタックは成立しない事になります。

したがって正解は「エ」です。

ちなみに「ア」のゼロデイ攻撃とは文字通り0日攻撃を意味し、セキュリティの脆弱性が発見されてその対策が実施される前に(その日のうちに)攻撃を行う手法のことです。

「イ」のバッファオーバーフロー攻撃とは、処理限度を超えたデータを送り付けることでシステムに誤作動を起こさせる攻撃手法のことです。

 

まとめ

情報セキュリティに関する問題は近年より重要度が増していて出題数も増えている傾向にあるのでしっかりと押さえておきましょう。

本記事の中で分からない用語があった方は関連する記事のリンクが貼ってありますのでそちらもご覧になってください。

今回は以上となります。