MiracleJobLogo
エンジニアのエンジニアによるエンジニアのためのサイト
News 07/25 おすすめ情報に 『 【案件】Azure AD関連の認証設計/azureの基本設計 』 を追加しました。
会員登録するとキャリア診断やサイトに参加することができます。
あなたにおすすめな技術情報、資格、仕事などをお知らせします。

無料会員登録


パスワードを忘れた場合
LINEで送る
MiracleJobBanaLeft1
MiracleJobBanaLeft2


辞書攻撃とは
profile-img
投稿者: C-Tさん
投稿日:2023/03/01 16:43
更新日:
like-img
分類
技術
テクノロジー
セキュリティ
キャリア
テクニカルサポート
投稿内容
インターネットの普及により、個人・法人を問わず、多種多様なサービスが利用されている現代社会において、
こういったサービスのユーザー認証時に用いるID・パスワード等は攻撃者にとって格好のターゲットとなり、
一度でも不正アクセスを許してしまえば、深刻な被害に繋がりかねない現状があります。

今回は、こういったユーザー認証を突破する攻撃の一種である、『辞書攻撃』について紹介します。

『辞書攻撃(Dictionary Attack:ディクショナリーアタック)』とは、
パスワードの割り出し等、不明な文字列の推測を効率的に実行し、攻撃者が特定システムやサービスへのログイン認証を突破するための攻撃手法の1つで、
辞書や人名録等の、人間にとって意味のある一般的なキーワードの単語リストを候補とし、
それらの組み合わせや派生語等を、パスワード候補の文字列として辞書に登録して用います。

『人間はまったくランダムな文字列は覚えにくいので、何らかの意味のある単語を使いたがる』という心理を利用した攻撃で、

『推測されやすいパスワードに設定しない』という点が、セキュリティ対策の基本的な考えの1つとしてありますが、

これは、こうした辞書攻撃による『なりすまし』のリスクを軽減するための対策でもあるのです。


また、『辞書攻撃』をはじめとしたユーザー認証突破型の攻撃は、攻撃実行の際にサービス事業者のサーバーに過大な負荷をかけることにもなります。
『一定のIPアドレスからの異常なリクエストについては、接続を拒否する』等、サービス事業者側も対処を重ねてきているものの、
攻撃者側もIPアドレスを分散してリクエストを試行するなど、いたちごっこが続いているのです。

辞書攻撃への対処法としては、以下の対策があります。

・パスワード等の一部または全体を、全く無意味かつランダムな文字の並びにする(推測されにくいパスワードの設定)
・パスワードの使い回しをしない
・パスワードマネージャーの利用
・多要素認証の利用
・ユーザー認証の試行回数に制限(一定回数の連続失敗でアカウントをロックする等)を設け、攻撃者が大量のパターンを自動試行出来ないようにする

ユーザーにとって、パスワードの保護はセキュリティ対策の基本中の基本です。
『パスワードの漏えい』によって被害を受けるのは自分自身だという認識を持って、

厳重に管理できるよう対策を実行することが安全なサービス利用には求められるのです。


参考:

辞書攻撃(ディクショナリアタック)とは - 意味をわかりやすく - IT用語辞典 e-Words

辞書攻撃とは?どういった手法でどのようなリスクがあるのか | サイバーセキュリティ情報局 (canon-its.jp)

コメント


MiracleJobBanaRight1
MiracleJobBanaRight2
MiracleJobBanaRight3