SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

オンライン上の特定のパスワードを推測する攻撃

この記事をシェア

第三者のパスワードを推測する攻撃としては、とにかく順番に試してみる「総当たり」といったやり方や、単語を次々と入れてみる「辞書」や「リスト」を使うやり方が、よく知られている。だが、それ以外に、ユーザーの個人情報の一部を入手して、そこから推測するという手法が登場している。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

オンライン上の特定のパスワードを推測する攻撃

最近の研究によれば、オンライン上で特定のパスワードを標的にし、これを推測する攻撃が、オンライン・セキュリティにとって大きな脅威になっている。

論文によると、その手口は、多くのユーザーに見られるセキュリティの不備に付け込むというものである。複数のアカウントに共通した同一のパスワードの使用が狙われているのであるが、場合によってはこのパスワードの中に、しばしば個人情報が含まれている場合もある。

ランカスター大学コンピューター・コミュニケーション学部と福建師範大学数学・コンピューターサイエンス学部との、この共同研究の著者たちの見解では、こうしたアプローチの脅威は世間では「過小評価」されているとみている。

「不法に他人のアカウントにアクセスしようとしている攻撃者が、そのユーザーの個人情報を何らかのやり方で手に入れていると、非常に多くのパスワードが推測可能であることを、私たちは証明しました」と、研究リーダーの学生ディン・ワン(Ding Wang)氏は述べる。

「特に危険なのは、普段は使っていない別のアカウントからパスワードが漏れた場合です。攻撃者は、最初に狙っているアカウントそのものではなく、こうした別の複数のアカウントを攻略することがしばしば見受けられます」と説明する。

論文の責任者ピン・ワン(Ping Wang)教授は、こうしたオンライン・パスワードを推測する攻撃は「深刻なセキュリティ上の懸念事項」となると付け加える。

「それは、2つの理由から深刻である」と、教授は説明を続ける。「第1の理由として挙げられているのは、サイバー犯罪者が簡単にアクセスできる、個人特定可能な情報が膨大にあるということ」である。「第2に、サイバー犯罪者は、過去・現在の情報漏えいのおかげで、何百万もの流出パスワードを手に入れることができる」からである。

「こうした研究を知ったことにより、Webサイトで使う複数のパスワードがもっとしっかりしたものに変わり、その結果、犯罪者によるパスワード推測がより困難になることを願っています」と、論文の共著者ジェフ・ヤン(Jeff Yan) 博士は言う。

「また、インターネットサービス・プロバイダーがオンライン上のパスワード推測攻撃を検知し、これに抵抗できるように頑強なセキュリティ対策を講じるよう、周知するのにこの研究が役立てば、と思っています」

簡単にできる有効な対策の一つとして「パスフレーズ」の使用を強くお勧めしたい。パスフレーズは、パスワードより複雑で長いが、記憶しやすいように、慣用句や決まり文句など覚えやすい文字列を基にして作成するものだからである。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!