6種類のパスワード攻撃とその阻止方法

パスワード攻撃は、企業と個人のデータ漏洩の最も一般的な形態の1つです。パスワード攻撃は、単純にハッカーがパスワードを盗もうと試みることです。2020年、データ漏洩の81%が不正利用されたクレデンシャルによるものでした。パスワードには多くの文字と数字しか含めることができないため、パスワードの安全性は低下しています。ハッカーは、多くのパスワードが適切に考案されていないことを知っているので、パスワードが使用される限り、パスワード攻撃はなくならないでしょう。

以下の情報を読んで、パスワード攻撃からデータを保護しましょう。

フィッシングは、信頼できる当事者を装ったハッカーが、個人情報を自発的に公開することを期待して詐欺メールを送信することです。被害者を偽の「パスワードのリセット」画面に導いたり、リンクによって悪質なコードがデバイスにインストールされる場合もあります。OneLoginブログでは、さまざまな事例を取り上げています。

以下にフィッシングの例をいくつか示します。

• 一般的なフィッシング。goodwebsite.comからパスワードをリセットするように依頼するEメールを受け取りました。注意深く見ればgoodwobsite.comであり、偽物だとわかるのですが、気づきませんでした。パスワードをリセットしてしまい、ハッカーはクレデンシャルの盗難に成功します。
• スピアフィッシング。ハッカーが、友人、同僚、仲間を装ったEメールを使って、明確に個人を標的にします。短い、一般的な文面（「同封した請求書に問題がないか確認してください。」など）で、悪意のある添付ファイルがクリックされることを期待しています。
• スミッシングとビッシング。ハッカーから、アカウントが凍結された、または詐欺が検出されたことを知らせるテキストメッセージ（SMSフィッシング、スミッシング）または電話（音声フィッシング、ビッシング）を受け取ります。アカウント情報を入力することで、ハッカーに盗まれてしまいます。
• ホエーリング。個人または組織が会社の幹部を装った人物からEメールを受け取ります。Eメールの信ぴょう性を確かめず、ハッカーに機密情報を送信してしまいます。

フィッシング攻撃を避けるには、以下の手順を実行してください。

• Eメールの送信者を確認する: すべてのEメールの「差出人:」欄を調べて、Eメールの送信者であると主張している人物の正しいEメールアドレスであることを確認します。
• 送信者に再確認する: 疑わしいときは、Eメールの差出人に連絡して、そのEメールを送信したかどうかを確認します。
• ITチームに確認する: 多くの場合、組織のIT部門は、受信したEメールが正規のものであるかどうかを判別できます。

中間者（MitM）攻撃は、ハッカーまたは侵害されたシステムが、侵害されていない2人の人またはシステムの間に位置し、お互いに受け渡すパスワードなどの情報を解読することです。教室でAliceとBobがメモをやり取りするとき、Jeremyが間にいてメモを中継していた場合、Jeremyは中間者になり得ます。同様に、Equifaxは2017年、ハッカーが顧客情報を盗むことができる安全でないチャネルを介して機密データを渡していた同社のアプリをApp StoreとGoogle Playストアから削除しました。

以下のことが、中間者攻撃を防ぐのに役立ちます。

• ルータの暗号化を有効にする。使用しているモデムとルータに誰でも街中からアクセスできる場合、「スニファ」テクノロジーを使用することで、そこを介して受け渡される情報を見ることができます。
• 強力なクレデンシャルと2要素認証を使用する。多くのルータクレデンシャルは、デフォルトのユーザ名とパスワードから変更されていません。ハッカーがルータ管理にアクセスできると、すべてのトラフィックを、ハッキングされたサーバにリダイレクトすることができます。
• VPNを使用する。安全な仮想プライベートネットワーク（VPN）は、データを送信するすべてのサーバが信頼できることで、中間者攻撃の防止に役立ちます。

パスワードがカギを使ってドアを開けることだとすると、ブルートフォース攻撃は破壊槌を使用するようなものです。ハッカーは2兆1800億通りものパスワードとユーザ名の組み合わせを22秒で試すことができます。使用しているパスワードが単純なものである場合、アカウントが狙われる可能性があります。

以下のことが、ブルートフォース攻撃を防止するのに役立ちます。

• 複雑なパスワードを使用する。すべて小文字、すべてアルファベットの6桁のパスワードと、大文字小文字が混在し、文字種が混在する10桁のパスワードの違いは非常に大きいです。パスワードの複雑さが増すほど、ブルートフォース攻撃の成功率が低下します。
• リモートアクセスを有効にして構成する。会社がリモートアクセス管理を使用していないか、IT部門に問い合わせます。OneLoginなどのアクセス管理ツールは、ブルートフォース攻撃のリスクを軽減します。
• 多要素認証を要求する。アカウントで多要素認証（MFA）が有効になっていると、潜在的なハッカーは、アカウントにアクセスするための2つ目の要素にリクエストを送信することしかできません。ハッカーはおそらくモバイルデバイスや指紋にアクセスできないでしょう。したがってハッカーはアカウントからロックアウトされます。

ブルートフォース攻撃の一種である辞書攻撃は、パスワードとして「基本的な」単語を選ぶという私たちの習慣に依存しています。ハッカーが最も一般的に照合するのは、「クラッキング辞書」です。より高度な辞書攻撃は、出生地、子供の名前、ペットの名前など、その人の個人的に重要な単語を組み込みます。

以下のことが、辞書攻撃を防止するのに役立ちます。

• 辞書に載っている単語をパスワードとして使用しない。本で読んだ言葉は、パスワードの一部に使ってはいけません。アクセス管理ツールの代わりにパスワードを使用する必要がある場合は、パスワード管理システムの使用を検討してください。
• パスワードを何度も失敗した場合は、アカウントをロックする。パスワードを忘れただけなのに、アカウントからロックアウトされることは苛立たしいことかもしれませんが、そうしない場合、アカウントのセキュリティが低下する可能性があります。ロックアウトされる前に、ログインを試すことができるのは5回以下にしてください。
• パスワード管理機能への投資を検討する。パスワード管理機能は、辞書攻撃を防ぐのに役立つ複雑なパスワードを自動的に生成します。

以前にハッキング被害にあったことがある場合、古いパスワードが評判の悪いWebサイトに漏洩した可能性があることをご存知でしょう。クレデンシャルスタッフィングは、アカウントの侵害後にパスワードを変更していないアカウントを利用します。ハッカーは、被害者が変更していないことを期待して、以前のユーザ名とパスワードのさまざまな組み合わせを試します。

以下のことが、クレデンシャルスタッフィング攻撃を防止するのに役立ちます。

• アカウントを監視する。オンラインIDを監視する有料サービスもありますが、haveIbeenpwned.comなどの無料のサービスを使用してEメールアドレスが最近の漏洩に関係していないかどうかを確認することもできます。
• 定期的にパスワードを変更する。パスワードが変更されていない時間が長いほど、ハッカーが解読する方法を見つける可能性が高まります。
• パスワード管理機能を使用する。辞書攻撃と同様に、多くのクレデンシャルスタッフィング攻撃は、強力で安全なパスワードを持つことで避けることができます。パスワード管理機能はそのようなパスワードを維持するのに役立ちます。

キーロガーは、すべてのキーストロークを追跡し、ハッカーに報告するために設計された、悪意のあるソフトウェアの一種です。一般的に、ユーザは合法なものであると信じてソフトウェアをダウンロードしますが、気づかないままキーロガーをインストールしてしまいます。

以下のことで、キーロガーから身を守ることができます。

• 物理的なハードウェアを確認する。ワークステーションにアクセスできる人は、ハードウェアキーロガーをインストールして、キーストロークに関する情報を収集することができます。コンピュータとその周辺を定期的に調べて、各ハードウェアをよく確認します。
• ウィルススキャンを実行する。信頼できるアンチウィルスソフトウェアを使用して、定期的にコンピュータをスキャンします。アンチウィルス会社は、最も一般的なマルウェアキーロガーを記録しており、危険なものとしてフラグを立てます。