アクセス制御の脅威 - 辞書攻撃、総当たり攻撃、なりすまし、インサイダー

辞書攻撃

パスワードを不正に入手して認証を突破するための、昔からあるオーソドックスな攻撃パターンです。

パスワードは、ユーザーの記憶に頼る認証方法ですから、 覚えやすくするため、単語や人名、地名などを使って構成される場合が多くあります。

たとえば、「四季」「動物の名称」「食べ物の名前」「好きな観光地」など、 パスワード用の単語として心当たりのある人も多いのではないでしょうか。 辞書攻撃では、このような辞書に載っている単語や、人名などパスワードに使われそうな単語を辞書化したものを用います。

何万語という言葉を収録している辞書でも、コンピューターで処理を行えば短時間で入力可能です。 辞書攻撃ではこうした単語を、一つのアカウントに片っ端から入力してパスワードと一致するものがないか試します。

辞書攻撃への対処法としては、意味のある単語をパスワードに使わないことです。 辞書攻撃では、大文字や小文字を組み合わせてみたり、数字を加えてみたりと様々なパターンを試しますので、 ちょっとパスワードに工夫をする、という程度では突破されてしまう恐れがあります。

総当たり攻撃

総当たり攻撃は、ブルートフォースアタックとも呼ばれます。 ブルートフォースとは「力づく」という意味で、その名の通り、 一つのアカウントに認証に使用されるすべての文字列を片っ端から入力して突破を試みます。 辞書攻撃対策として意味の無い文字列を設定しても、この攻撃により突破されてしまいます。

この攻撃の弱点は、長く複雑なパスワードに弱いことです。 パスワードが数字のみで４桁など、簡単な場合は容易に突破されてしまいますが、 英数字に大文字小文字も加え８桁以上など、多くの文字を利用した複雑なパスワードであれば、 組合せの数が膨大すぎてこの方法での突破は困難になります。 最低でも英数字６桁、できれば８桁以上のパスワードを設定することが望まれます。

ハイブリッド攻撃

攻撃者は辞書攻撃と総当たり攻撃を組み合わせたハイブリッド攻撃を行うことがあります。 したがって、ユーザーとしては、パスワードは意味のない文字列で、 しかも８桁以上あり、定期的に変更されるのが望ましいあり方です。

逆総当たり攻撃

総当たり攻撃は、一つのアカウントに対し複数のパスワードを入力して試すというものです。 これに対して、逆総当たり攻撃というのは、利用される頻度の高い一つのパスワードを複数のアカウントに試す方法です。

辞書攻撃や総当たり攻撃に対するシステム側の防衛として、 一定数のパスワード試行が繰り返されたら入力を受け付けなくなるという「ロックアウト」という対策がありますが、 逆総当たり攻撃にはロックアウトが通用しません。 逆総当たり攻撃に対しても意味のある単語はパスワードに用いないようにしましょう。

ログオン時のなりすまし

辞書攻撃と総当たり攻撃は昔からある手口ですが、なりすましは最近増加している脅威です。 銀行に対するフィッシング詐欺などでよく使われる手口です。

攻撃者は銀行を騙った偽のメールや、ユーザーのパソコンをウイルス感染させることにより、 本物の銀行の取引画面そっくりの偽のログイン画面をユーザーのパソコンに表示させます。 だまされたユーザーはログインのため、正規のIDとパスワードを偽の画面に入力してしまい、情報が盗まれます。

これに対する対策としては、アカウントの確認等を求めるメールを疑うこと、 疑問を感じたら銀行等へ直接連絡すること、パソコンのウイルス対策を行うことが挙げられます。

インサイダー

最も防ぎにくいのが内部者からの攻撃です。 特に、管理権限を持っている内部者が不正アクセスや情報漏えいを行う場合が深刻です。

対策も難しい場合がありますが、一般的には、会社や組織内部であったとしてもパスワードを人に見られる場所に掲示しない、 人事異動や退職などがあった場合、当該ユーザーのアクセス権を速やかに変更ないし削除するなどの措置が求められます。