知っておくべき9種類のパスワード攻撃
著者: Milena Baghdasaryan
翻訳: 東條 百々朱
この記事はPowerDMARCのブログ記事 9 Types of Password Attacks You Should Know の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
パスワードは、個人のメールアカウントから企業の重要データベースに至るまで、さまざまなシステムや情報を保護するための「鍵」として機能しています。
しかし、その重要性にもかかわらず、パスワードは依然としてデジタルセキュリティにおける最も脆弱な要素の一つです。
サイバー犯罪者は、この弱点を悪用するために、パスワードを解読、窃取、あるいは完全に回避するための高度な手法を利用しています。
パスワード攻撃は日々発生しており、個人ユーザからFortune 500企業まで、あらゆる対象が狙われています。
さまざまな種類のパスワード攻撃を理解することで、攻撃の兆候を早期に察知しやすくなります。
本ガイドでは、代表的な9種類のパスワード攻撃手法について解説し、それぞれの仕組みと防御方法を紹介します。
パスワード攻撃とは?
パスワード攻撃とは、サイバー犯罪者がパスワードを侵害することでアカウントへの不正アクセスを試みるあらゆる手法を指します。
最終的な目的は単純です。
認証を突破し、機密データ、アカウント、またはシステム全体へアクセスすることです。
これらの攻撃は、単純なパスワード推測から、大量のデータを処理する高度な手法まで多岐にわたります。
パスワード攻撃が特に危険なのは、その種類の多さにあります。
攻撃者は複数の手法を使い分けたり組み合わせたりして、成功率を高めます。
パスワード攻撃の種類
サイバー犯罪者は、パスワードを窃取・突破するために多様な手法を利用します。
その方法は、物理的な低技術攻撃から、1秒間に数百万通りの組み合わせを試行できる高度な自動化システムまで幅広く存在します。
ブルートフォース攻撃(Brute Force Attack)
ブルートフォース攻撃は、正解にたどり着くまで、考えられる組み合わせを片っ端から試す行為に似ています。
攻撃者は自動化ソフトウェアを利用して、可能なすべてのパスワードの組み合わせを体系的に試します。
例えば、以下のように順番に試行します。
000000 000001 000002
現代のコンピュータは1秒間に数千から数百万回の試行が可能です。
そのため、6桁の数字パスワードであれば数分で解読される可能性があります。
一方で、長く複雑なパスワードは解読に何年もかかる場合があります。
短く単純なパスワードはブルートフォース攻撃の格好の標的です。
また、アカウントロックや試行回数制限がないシステムは特に危険です。
辞書攻撃(Dictionary Attack)
辞書攻撃は、一般的によく使われる単語やパスワードのリストを利用する攻撃です。
すべての組み合わせを試すのではなく、人が選びそうなパスワードに絞って試行します。
利用されるリストには次のようなものが含まれます。
password123 admin qwerty
さらに、業界固有の用語や企業名に関連する単語も含まれます。
例えば、P@ssw0rd1よりもcorrect-horse-battery-stapleのような長いパスフレーズの方が辞書攻撃には強くなります。
フィッシング攻撃(Phishing Attack)
フィッシング攻撃はパスワードを推測するのではなく、利用者自身に入力させる攻撃です。
攻撃者は信頼できる組織を装ったメールやWebサイトを作成します。
典型的な例として、「24時間以内にログインしなければアカウントが停止されます」というメールが送られます。
リンク先は本物そっくりの偽サイトであり、入力した認証情報が盗まれます。
フィッシング攻撃では、緊急性や権威を利用したソーシャルエンジニアリングがよく使われます。
- 注意すべき兆候
-
- URLのスペルミス
- 不自然な緊急性
- 予期しないパスワードリセット要求
- 認証情報の再入力要求
クレデンシャルスタッフィング(Credential Stuffing)
クレデンシャルスタッフィングは、流出した認証情報を他サイトで試す攻撃です。
人は複数サイトで同じパスワードを使い回す傾向があります。
例えば、ショッピングサイトから流出した認証情報が、銀行口座やSNS、メールアカウントで再利用されている場合があります。
攻撃者はボットを利用して大量の認証情報を自動的に試行します。
キーロガー攻撃(Keylogger Attack)
キーロガーは入力されたキー操作を記録するマルウェアです。
主な種類は以下の2つです。
- ハードウェア型
- キーボードとPCの間に物理的に設置されます。
- ソフトウェア型
- バックグラウンドで動作し、入力内容を記録します。
高度なキーロガーは、パスワードやスクリーンショット、ブラウザ操作まで記録します。
Man-in-the-Middle攻撃(MITM)
MITM攻撃は、利用者とWebサイトの通信を途中で盗聴する攻撃です。
特に危険なのが公共Wi-Fiです。
利用者からは通常どおり接続できているように見えても、実際には通信が攻撃者のシステムを経由している場合があります。
SSL/TLSやVPNを利用することで、この攻撃を大幅に防止できます。
ハイブリッド攻撃(Hybrid Attack)
ハイブリッド攻撃はブルートフォース攻撃と辞書攻撃を組み合わせたものです。
例えば、以下のような予測可能な変種を大量に試します。
password password1 password123 Password! password2024
ランダムで複雑なパスワードは、この攻撃に強くなります。
レインボーテーブル攻撃(Rainbow Table Attack)
レインボーテーブル攻撃は、事前に計算されたハッシュデータベースを利用してパスワードを逆算します。
通常、パスワードはハッシュ化されて保存されます。
しかし、ハッシュ値が流出した場合、レインボーテーブルを利用して元のパスワードを特定できる可能性があります。
パスワードソルトを使用すると、この攻撃はほぼ無効化できます。
ショルダーサーフィング(Shoulder Surfing)
ショルダーサーフィングは、他人のパスワード入力を直接盗み見る攻撃です。
- よく発生する場所
-
- カフェ
- 空港
- 図書館
- オフィス
高度な技術は不要であり、周囲への注意だけで防げる場合もあります。
- 対策
-
- 周囲を確認して入力する
- プライバシーフィルタを利用する
- 生体認証を活用する
パスワード攻撃の影響
パスワード攻撃は個人にも企業にも深刻な被害をもたらします。
- 個人への影響
-
- 個人情報漏洩
- 金銭的損失
- プライバシー侵害
- 企業への影響
- 大規模なデータ漏洩
- 顧客情報の流出
- 規制違反による罰金
- 訴訟リスク
- ブランド価値の低下
2025年におけるデータ侵害1件あたりの平均損失額は440万ドルに達しており、パスワード関連インシデントは特に高額な被害をもたらします。
パスワード攻撃から身を守る方法
強固なパスワードセキュリティには多層防御が必要です。
- パスワードマネージャを利用する
- アカウントごとに異なるパスワードを設定する(二段階認証)
- 多要素認証(MFA)を有効化する
- フィッシングメールに注意する
- OSやソフトウェアを常に最新の状態に保つ
- VPNや安全なネットワークを利用する
企業の場合は、DMARCなどのメール認証技術を導入し、パスワード攻撃の入口となるフィッシングメールを防止することも重要です。
まとめ
パスワード攻撃は進化し続けています。
しかし、代表的な9種類の攻撃手法を理解することで、防御力を大きく高めることができます。
攻撃者は技術的な手法とソーシャルエンジニアリングを組み合わせて攻撃を行います。
そのため、防御には技術的対策と利用者教育の両方が必要です。
強力でユニークなパスワードと多要素認証(二段階認証)を組み合わせることで、多くのパスワード攻撃のリスクを大幅に低減できます。
デジタルセキュリティは、最も弱いパスワードによって左右されます。
今すぐ安全なパスワード管理を実践し、新たな脅威に備えましょう。
よくある質問
- 最も一般的なパスワード攻撃は何ですか?
- ブルートフォース攻撃は依然として非常に一般的です。
一方で、心理的な操作を利用するフィッシング攻撃も急速に増加しています。 - アカウントロックを回避できるパスワード攻撃は何ですか?
- クレデンシャルスタッフィング攻撃です。
同じアカウントへ繰り返し試行するのではなく、多数のサイトへ流出した認証情報を試すため、アカウントロックを回避できます。
また、辞書攻撃も試行回数制限内で成功する場合があります。