パスワードを不正入手する攻撃方法

パスワードが不正入手される方法として、以下のような攻撃方法があります。

ブルートフォース攻撃

ブルートフォース攻撃は、「総当たり攻撃」という意味で、パスワードに対して理論的に考えられるパスワードのパターン全てを入力するという単純な方法です。

例えばパスワードが4桁の数字の場合、その組み合わせは0000から9999までの1万通りになります。

これをすべて試すことで、必ず正しいパスワードを見つけることができます。

手動でこれを試す場合は大変ですが、コンピューターのプログラムで自動で実行させることで、手間をかけずにパスワード試すことができます。

辞書攻撃

辞書攻撃は、ブルートフォース攻撃の一種で、辞書に登録されている語句を組み合わせた様々な文字列を入力するという攻撃方法です。

一般的な単語や人物名、地名などを組み合わせてパスワードを推測し、ログインを試みます。

パスワードを忘れないように一般的な単語などを使用している場合も多いため、そういったパスワードに対して、辞書攻撃は比較的短時間に正しいパスワードを見つけ出します。

フィッシング

フィッシングは、実在する組織やサービスを騙って、住所やATMの暗証番号、クレジットカード情報などの個人情報を奪う行為です。

手口としては、金融機関や有名企業を装ってお知らせのふりをしたメールをユーザに送りつけ、用意した本物のサイトにそっくりな偽のサイトに利用者を誘導します。

そこでクレジットカード番号や各種サービスのID、パスワードなどを入力させて情報を盗み取ります。

中間者攻撃

中間者攻撃は、通信する二者間に第三者が介入し、情報を盗聴したり通信に介入したりする攻撃手法です。

攻撃者は発見されないようにする必要があるため、通信を盗聴しながら気づかれないように行動します。

そのため、被害に遭ったことに気付くのが遅れるという特徴があります。

クレデンシャルスタッフィング

クレデンシャルスタッフィングは、盗まれたIDやパスワードなどのアカウント情報を使用して、様々なオンラインサービスなどに不正ログインを試みる攻撃手法です。

これは、ユーザが複数のアカウントで同じパスワードを使いまわすことが多いことを利用しています。

クレデンシャルスタッフィングでは、自動化されたツールを使って、各種サービスに対してログインを試みます。

ログインに成功すると、銀行口座やSNSにアクセスするなど、様々な不正行為に使用されます。

パスワードスプレー攻撃

パスワードスプレー攻撃は、複数のユーザーアカウントに対して同じパスワードでログインを試みる攻撃手法です。

ログインシステムでは、一定回数ログインに失敗すると、一定期間ログインできないようにアカウントをロックする仕組みが多くあります。

パスワードスプレー攻撃では、1つのパスワードを固定にしてアカウント名を変えながらログインを試みます。

そのため、別のユーザーがそれぞれログインを失敗したように見えるため、アカウントのロックアウトを回避します。

キーロガー

キーロガーとは、キーボードやマウスなどデバイスの入力を記録するソフトウェアやハードウェアのことです。

元々は、パソコンでどのような操作をしたのかを記録しておくためのものですが、パスワードやクレジットカード番号など情報を盗むために不正利用されています。

キーロガーはキーボードで入力した内容を取得できるため、ログイン時のIDとパスワードを盗まれて不正ログインされたり、クレジットカード情報などの個人情報が盗まれてしまいます。