辞書攻撃の手法と危険性
インターネットの普及により、個人や企業を問わず多様なサービスが提供されているが、その認証に用いるIDやパスワードは攻撃者の標的になりやすい。一度でも不正アクセスを許すと、重大な被害を招く恐れがある。この記事では、認証を突破する攻撃手法の一つである「辞書攻撃」について説明する。
辞書攻撃とは
辞書攻撃とは「ディクショナリーアタック」とも呼ばれる、認証を突破するための攻撃方法である。図1に示すように、攻撃者が特定のシステムやサービスのログイン認証を狙う際に使用される手法だ。
1)総当たり攻撃(ブルートフォース攻撃)
総当たり攻撃は、別名ブルートフォース攻撃とも呼ばれ、特定のIDに対してランダムな文字列のパスワードを機械的に試す攻撃方法である。
例えば、3桁のパスワードなら、10の3乗で1000通りを試せば必ず正解にたどり着く。コンピューターの性能が向上するにつれ、以前は困難だった長いパスワードも、現在では容易に突破される可能性がある。
2)パスワードリスト攻撃
パスワードリスト攻撃は、攻撃者が不正に取得したパスワードをリスト化し、成功率の高いものから順番にログインを試みる手法で、ブルートフォース攻撃の成功率を上げるための手段と言える。
現在、ダークウェブでは過去に漏洩したIDやパスワードが取引されており、攻撃者はこれらのリストを使って複数のサービスへの攻撃を試みる。特に、同じパスワードを複数のサービスで使い回している場合、不正アクセスのリスクが高まる。
3)リバースブルートフォース攻撃(パスワードスプレー攻撃)
リバースブルートフォース攻撃は、従来の攻撃とは逆で、IDを変更しながら固定されたパスワードでログインを試行する手法である。よく使われる「123456」といったパスワードを設定しているアカウントを狙い、IDを順に試しながら「当たり」を探し出す。
総当たり攻撃では、複数回のパスワード入力ミスでアカウントをロックする対策が可能だが、リバースブルートフォース攻撃ではパスワードを固定し、IDを変えていくため、このロックを回避できる場合がある。
また、この攻撃を複数のパスワードで行うのがパスワードスプレー攻撃である。例えば、「123456」が失敗した場合、次は「123456789」や「password」などにパスワードを変更しながらログインを試行する手法だ。
増加し続ける不正アクセスのリスク
近年、日本国内での不正アクセスの件数は増加傾向にある。法務省が公表した「令和3年版 犯罪白書」によると、2020年の不正アクセス認知件数は2,806件で、2010年の1,885件に比べ約1.5倍に増えている
さらに、IPAが発表した「情報セキュリティ10大脅威 2022」では、個人向けでは「フィッシングによる個人情報の詐取」が1位にランクインし、「クレジットカードの不正利用」や「スマホ決済の不正利用」も上位を占めている。また、組織向けの脅威では「ランサムウェア」や「標的型攻撃」、さらに「サプライチェーンの脆弱性」などが上位に挙げられている。
このようなリスクの原因として、辞書攻撃をはじめとした攻撃によるパスワード漏洩が考えられるため、不正アクセスを防ぐためには辞書攻撃対策が必要だ。
辞書攻撃によるリスク
辞書攻撃をはじめとする認証突破型の攻撃による不正アクセスは、連鎖的に多様な被害を引き起こす可能性がある。ここでは、利用者とサービス提供者のそれぞれにとって主なリスクを挙げる。
ユーザーからの入力を受け取る検索フォームなどでは、事前にプレースホルダーとしてSQL文を用意し、入力された値を正しく処理することで、不正なSQL文の実行を防止する。
1)利用ユーザー
・なりすまし
不正アクセスによってアカウントが乗っ取られると、ネットバンキングのアカウントが侵害され、不正送金などの被害が発生する可能性がある。また、SNSアカウントが乗っ取られた場合、フォロワーの友人や知人にフィッシング詐欺のメッセージが送られ、被害が拡大する恐れがある。
・個人情報の窃取
インターネットサービスのアカウントに不正アクセスされると、保存されている住所や電話番号などの個人情報が漏洩する可能性がある。また、こうした情報がダークウェブで取引される危険もある。
・マルウェア感染
不正アクセスにより個人情報が漏洩すると、その情報を悪用したさらなる攻撃が発生し、マルウェア感染などの二次的または三次的な被害を引き起こす可能性がある。漏洩した個人情報を基に、標的型攻撃が行われるリスクも考えられる。
2)サービス事業者
・個人情報や機密情報の窃取
不正アクセスにより、サーバーに保存されている個人情報や機密情報が漏洩するリスクが存在する。情報漏洩が発生した場合、企業の信頼性が損なわれるなど、直接的または間接的な被害が生じる恐れがある。
・Web改ざん
CMSなどのWeb管理システムが不正アクセスを受けると、Webサイトが改ざんされる危険性がある。改ざんされたWebサイトには悪意のあるプログラムやスクリプトが埋め込まれ、結果的にさまざまな形で攻撃者を助けてしまう懸念がある。
・マルウェア拡散・感染
Webサイトが改ざんされることにより、意図せずして訪問ユーザーにマルウェアを広めてしまう可能性がある。また、自社のシステムがマルウェアに感染すると、サービスの提供に深刻な影響を与える恐れがある。
・DDoS攻撃などの踏み台にされる
マルウェアに感染すると攻撃者が遠隔操作できるようになり、DDoS攻撃の踏み台にされる可能性がある。この場合、他の攻撃に加担することになり、状況によっては甚大な被害をもたらす恐れがある。
さらに、辞書攻撃などの認証突破型攻撃は、サービス事業者のサーバーに過剰な負荷をかけることになる。サービス事業者は、特定のIPアドレスからの異常なリクエストを拒否するなど対策を講じているが、攻撃者はIPアドレスを分散させてリクエストを試みるため、いたちごっこが続いている。
不正アクセスに対する対策として、侵入やなりすましにどう取り組むべきかが問われている。
辞書攻撃への対策
辞書攻撃への対策として、利用ユーザー、サービス事業者それぞれで求められる対策を挙げる。代表的なものは以下のとおりだ。
1)利用ユーザー
・推測されにくいパスワードの設定
セキュリティ対策の基本中の基本は、Webサービスに登録する際に「123456」や「password」といった推測しやすいパスワードを使用しないことです。可能であれば、15桁以上のランダムな文字列を設定することが望ましいです。
・パスワードの使い回しをしない
単純なパスワードを避けることに加え、複数のサービス間でパスワードを使い回さないことも基本的な対策となるだろう。
・パスワードマネージャーの利用
単純なパスワードの設定や重複利用を避ける方法の一つとして、パスワードマネージャーの利用が挙げられる。セキュリティソフトに組み込まれているものや、ChromeなどのWebブラウザーに搭載されているものを利用することで、安全性が向上する。
・多要素認証の利用
パスワード以外の認証手段として、多要素認証を活用することで安全性が向上する。最近では、重要なサービスにおいて、サービス提供者が二要素認証を導入している例も増えている。
2)サービス事業者
・多要素認証の導入
認証システムにおいては、パスワードだけでなく生体認証やトークンを用いた多要素認証を導入し、ユーザーの利用を積極的に促進することが重要である。ネットバンキングへの不正アクセス問題がメディアで取り上げられる際、多要素認証の導入が推奨されている。ユーザーが手間よりも安全性を重視していることを認識し、対応策を講じるべきだ。
・アカウントロック(サービス側として)
アカウントが複数回パスワードエラーを起こした場合、一時的にロックされるアカウントロック機能を実装することが求められる。ログイン画面で、一定のエラーが発生するとロックされることを明示するのが望ましい。
・不正な通信の監視、検知、リクエストの接続拒否
IDSやIPSなどのシステムへの不正アクセスを監視・検知し、攻撃を阻止する仕組みの導入が重要である。UTMなど、こうした機能とファイアウォールを統合したソリューションの導入も考慮すべきである。
ユーザーにとって、パスワードの保護はセキュリティ対策の基本である。パスワードが漏えいすると自分に被害が及ぶことを理解し、厳重に管理する対策を進めることが安全なサービス利用には不可欠だ。先に述べたように、複雑で推測されにくいパスワードの設定には、パスワードマネージャーを使うのが現実的な方法である。
また、サービス事業者側は、パスワード漏えいによる不正アクセスが深刻な信頼失墜を招くことを認識し、関係者全体で意識を共有する必要がある。そのため、多要素認証やアカウントロックなどの機能を導入することが重要だ。日常的に不正な通信を監視・遮断するために、IDSやIPS、またはそれらの機能を内包したUTMソリューションの導入も検討してほしい。
