2024.06.24

辞書攻撃とは？手口やリスク、被害事例、対策をわかりやすく解説

著者株式会社SHIFT　マーケティンググループ

Introduction

辞書攻撃とは、パスワードやログインIDの総当たり、パスワードの窃取などにより、ログイン認証を破るサイバー攻撃の手法です。辞書攻撃にはさまざまな手法があり、日ごろから対策をしておかないと、不正ログインやなりすましの被害を受けることもあります。

この記事では、辞書攻撃とは何か、攻撃を受けるとどのような被害が起こるか、被害事例や対策について解説します。

辞書攻撃とは？

辞書攻撃は「Dictionary Attack」と呼ばれ、ログイン認証などの認証を突破するためのサイバー攻撃の手法のひとつです。ここでは、辞書攻撃とはどのようなサイバー攻撃なのか、その攻撃の手口や仕組みについてご説明します。

よく使われるパスワードを順番に試していく攻撃手法

辞書攻撃とは、ログイン認証などを突破するためのサイバー攻撃です。総務省の『中小企業等担当者向けテレワークセキュリティの手引き』によると、以下のように定義されています。

辞書攻撃

よく使われるパスワードを順次試していく攻撃手法

ログインIDとパスワードによるログイン認証は、存在するログインIDとパスワードの組を知れば、簡単に認証を突破できてしまいます。

パスワードを設定する際に「tanaka_0222」など自分の名前と生年月日の組や「password01」などの簡単なものにしている人も多いでしょう。パスワードは誰にもわからない文字列にしなければなりませんが、あまり複雑にすると自分が忘れてしまうため、簡単なものに設定してしまいがちです。

サイバー犯罪者はそのような傾向を悪用し、人名や一般的な単語、パスワードに使われやすい単語などを組み合わせて、認証を破ろうとします。このようなサイバー攻撃の手法を、辞書攻撃といいます。

辞書攻撃と類似する攻撃

辞書攻撃とよく似た攻撃手法はいくつかあります。ここでは、パスワード認証を破るためのサイバー攻撃の手法について、ご説明します。

ブルートフォース攻撃（総当たり攻撃）

ブルートフォース攻撃とは、ログインIDを決め、パスワードの組み合わせを試して何度も入力する手法です。

たとえば、パスワードが6桁の数字の場合、000001～999999までの100万通りの番号を順番に入力していくと、いつかは当たりのパスワードを入力できます。ログインIDを特定できれば、理論的にはログイン認証を破ることが可能です。

パスワードに英字、数字、記号、大文字小文字などを必ず使うとしているケースが多く、実際はもっと複雑です。しかし、ツールを使えば全通りのパスワードを入力でき、いつかはログイン認証が破られてしまいます。

ただし、多くのログイン認証にはロック機能が搭載されており、3回以上パスワードを間違えると、一定時間アカウントをロックするなどの仕様になっています。そのため、いまではブルートフォース攻撃は、そこまで有効な攻撃ではありません。

ブルートフォース攻撃についてはこちらもご覧ください。
＞＞ブルートフォース攻撃とは？手口や対策までわかりやすく解説のページへ

パスワードリスト攻撃

パスワードリスト攻撃とは、事前に入手したログインIDとパスワードのリストを使って、ログイン認証を破る攻撃手法です。

ログインIDとパスワードのリストは、ダークウェブと呼ばれる犯罪者が集まるサイバー空間で取引され、不正な手段で入手することが可能です。また、フィッシング詐欺や不正アクセスなどを行って、企業のネットワークなどに忍び込み、ID・パスワードのリストを入手する場合もあります。ID・パスワードのリストを入手できれば、ブルートフォース攻撃などよりも確実に、不正アクセスを成功させることが可能です。

また、パスワードを複数のサービスで使いまわす人も多いため、そのリストを使ってほかのサービスにも攻撃をしかけます。IDとパスワードのリストが盗まれてしまうと、不正アクセスの被害が拡大する可能性が高く、とても危険なことがわかります。

リバースブルートフォース攻撃（パスワードスプレー攻撃）

リバースブルートフォース攻撃とは、パスワードを固定してログインIDを変え、何通りも試して認証を破る方法です。ブルートフォース攻撃とは異なり、パスワードではなく、ログインIDを総当たりして不正ログインを行います。たとえば、パスワードとしてよく使われる「password01」などの文字列を使い、ログインIDを総当たりします。

この方法であれば「パスワードを3回間違えると一定時間ログインできなくなる」などのパスワードロック機能は影響しません。この点で、IDを総当たりするリバースブルートフォース攻撃は、パスワードを総当たりするブルートフォース攻撃よりも、攻撃しやすいことがわかります。

リバースブルートフォース攻撃についてはこちらもご覧ください。
＞＞リバースブルートフォース攻撃とは？ブルートフォース攻撃との違いや危険性、対策を解説のページへ

辞書攻撃によって起こりうる被害

辞書攻撃を受けると、具体的にどのような被害が発生するのかをご説明します。

個人情報や機密情報の漏えい

個人のECサイトや企業システムのアカウントなどは、不正アクセスされると、個人情報や企業情報の漏えいのリスクがあります。

たとえば、ECサイト内に表示される個人情報やクレジットカード情報などが漏えいすれば、個人情報が悪用され、勝手に買い物をされるなどの被害が考えられます。企業システムから企業の機密情報や顧客情報などが盗まれれば、より大きな被害につながります。顧客情報が売買される、機密情報が競合他社に流れるなどの被害だけでなく、企業の信頼が大幅に低下することで、売上の減少なども起こるでしょう。

アカウントの乗っとり・なりすまし

SNSアカウントやECサイトのアカウントなどに不正ログインされることで、アカウントの乗っとりやなりすましが発生します。

SNSアカウントが乗っとられると、個人情報が抜きとられたり、詐欺サイトの拡散に利用されたりするなどの被害が考えられます。とくに、企業のSNSアカウントが乗っとられると、企業イメージが大幅にダウンしてしまうでしょう。

ECサイトのアカウントが乗っとられると、クレジットカード情報が盗まれ、高額な買い物を勝手にされてしまうなどの金銭被害も起こります。

Webサイトの改ざん

Webサイトの管理者アカウントなどに不正ログインが発生すると、Webサイトが改ざんされる可能性も高いです。

企業サイトが乗っとられて、改ざんが行われることで企業イメージが悪くなり、企業の信用度が大きく低下してしまうでしょう。不正アクセスへの対処や改ざんの修正などにかかる費用よりも、信用を落とすことによる売上の減少や、顧客離れなどによる被害の方が大きくなることもあります。

サーバーやシステムの停止・破壊

管理者権限をもつアカウントが乗っとられることで、サーバーやシステムの停止、データの破壊などの破壊活動が行われます。データを勝手に暗号化して元に戻すかわりに、身代金を要求するランサムウェアによる被害も確認されています。

ランサムウェアについてはこちらもご覧ください。
＞＞ランサムウェアとは？種類や被害事例、感染を防ぐための対策まで詳しく解説のページへ

辞書攻撃の被害事例

辞書攻撃を実際に受けた企業や団体の被害事例について、ご紹介します。

医療センターがランサムウェア被害にあったケース

ある総合医療センターは、2022年10月にランサムウェアによるサイバー攻撃の被害を受け、電子カルテなどが暗号化されました。ランサムウェアの侵入口は、医療センターの給食委託事業者のVPN装置でした。

その結果、外来診療や検査などの医療行為は停止になり、外来診療を全面的に再開できたのは、翌年の2023年1月11日です。

全国約90の自治体議会Webシステムが停止したケース

2023年4月13日に、全国約90の自治体議会Webシステムのサーバーが、不正アクセスにより停止しました。このシステムを運営する業者の、Webサイト管理システムのサーバーが不正アクセスを受け、議会中継システムなどが停止しています。

辞書攻撃を防ぐための対策

辞書攻撃を防ぐためには、いくつかの対策があります。ここでは、その対策について解説します。

ログインの試行回数を制限する

ブルートフォース攻撃を防ぐための方法として、ログインの試行回数を制限するロック機能を実装することが有効です。

具体的には以下のような機能です。

・同じIDに対して、連続でパスワードを3回以上間違えるとロックして、一定期間ログインできなくなる
・このロックを一定期間内に3回以上繰り返すと、アカウントが停止する

このような機能が実装されることで、パスワードを総当たり入力するブルートフォース攻撃の実行が困難になります。

ただし、パスワードを固定して、ログインIDを総当たり入力するリバースブルートフォース攻撃の対策にはならないため、ほかの対策が必要です。

パスワードには長く複雑な文字列を使用する

パスワードが破られることを防ぐために、パスワード設定のルールを厳格化して、長く複雑な文字列を使用することを推奨することも有効です。

英字・数字・記号を必ず用い、大文字と小文字を使うなど、パスワードに使う文字種を増やせば、それだけパスワードを類推しにくくなります。また、意味のある単語や人名などを使ったパスワードを設定した場合、システム側で警告を出すなどの仕組みも有効です。

システムを最新の状態に保つ

セキュリティツールやOSなどを、つねに最新の状態に保つことも重要です。セキュリティパッチをつねに最新の状態にしておくことで、脆弱性対策になります。

不正アクセスは、システムの脆弱性をついて行われることも多いため、システムを定期的に更新して最新の状態を保つことが重要です。

多要素認証を導入する

IDとパスワードの組による認証だけだと、辞書攻撃によって認証が破られれば、不正アクセスを許してしまいます。そこで、ID・パスワードの組以外の認証も行う多要素認証を導入すれば、不正アクセスを防ぐことが可能です。

たとえば、ワンタイムパスワードやセキュリティコードによる認証、生体認証など、ほかの認証要素を追加します。多要素認証を導入すれば、ID・パスワードの認証が破られたとしても、不正にログインされることはありません。

多要素認証についてはこちらもご覧ください。
＞＞多要素認証（MFA）とは？認証方式の種類やメリットについて解説のページへ

脆弱性診断を行う

認証情報を盗みとる攻撃や不正ログインなどの攻撃は、システムに潜む脆弱性をついて行われることがあります。システムの脆弱性診断を行っておけば、システムに潜む脆弱性を把握でき、サイバー攻撃を受けないように対処することが可能です。

たとえば、Webサイトの入力フォームに、データベースの情報を盗みとるSQL文を入力すると、Webサイトのサーバー内の情報を盗めてしまう脆弱性が存在するとします。このような脆弱性の存在を知らずに放置すると、不正アクセスや情報漏えいなどの被害にあう危険性が高まります。

SHIFTのセキュリティ（脆弱性）診断は、セキュリティ基準の高い金融業界の実績が豊富です。このような豊富な実績を活かして、高品質な診断サービスを実施いたします。

脆弱性診断についてはこちらもご覧ください。
＞＞脆弱性診断とは？診断の種類や必要な理由、やり方やツールについても解説のページへ
＞＞脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方などのページへ

セキュリティソリューションを導入する

脆弱性診断を受けることで、システムに潜む脆弱性の存在が明らかになれば、あとは対策を行うだけです。脆弱性対策のためのパッチを適用する、セキュリティソリューションを導入するなどの対策を行うことで、セキュリティレベルを高められます。

ただし、一度対策を行ったとしても、その後も適切なメンテナンスにより、最新の状態に保つ必要があります。新たな脆弱性やサイバー攻撃が次々と登場するため、最新の状態に保つことは必要不可欠です。

従業員にセキュリティ教育を実施する

社内システムや企業サイトなどを利用する、従業員のセキュリティ教育を実施することも非常に重要です。

上記でご説明したような、辞書攻撃についての知識や強力なパスワードの設定方法、システムをつねに最新化することなどについて教育します。そうすることで、セキュリティに対する意識が高まり、企業のセキュリティレベルの向上につながるでしょう。

まとめ

この記事では、辞書攻撃とは何か、攻撃を受けるとどのような被害が起こるか、被害事例や対策について解説しました。

辞書攻撃を受けると、IDとパスワードによる認証が破られ、不正アクセスやなりすまし被害が起こる可能性が高いです。そのため、日ごろから適切な対策をしておく必要があります。

SHIFTでは、脆弱性診断やセキュリティレベルを高めるためのセキュリティソリューションの導入支援を行っています。セキュリティ対策に不安がある場合は、お気軽にご相談ください。

ご相談はこちらから
＞＞お問い合わせページへ
＞＞料金についてページへ

引用元：

総務省｜中小企業等担当者向けテレワークセキュリティの手引き

この記事を書いた人

著者株式会社SHIFT　マーケティンググループ

SHIFTは「売れるサービスづくり」を得意とし、お客様の事業成長を全力で支援します。無駄のないスマートな社会の実現に向けて、ITの総合ソリューションを提供する会社です。

サービスサイト：https://service.shiftinc.jp/
コーポレートサイト：https://www.shiftinc.jp/
X（旧Twitter）：https://twitter.com/SHIFT_cp

ご支援業種

製造、金融（銀行・証券・保険・決済）、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント

など多数

前のページへ

次のページへ

コラム一覧に戻る