| 過去問の出題率 | ぼちぼち: |
「辞書攻撃って何?」
「ブルートフォース攻撃とどう違うのか知りたい」
この記事では、辞書攻撃の意味、仕組み、狙われやすいパスワード、被害を防ぐ方法、情報セキュリティマネジメント試験で押さえたいポイントをわかりやすく解説します。
結論として、辞書攻撃は、よく使われる単語や文字列を順番に試してパスワードを突破しようとする攻撃です。単純なパスワードほど破られやすいため、複雑で長いパスワードと多要素認証を組み合わせることが重要です。
辞書攻撃とは
辞書攻撃とは、辞書に載っている単語、人名、誕生日、よく使われる英単語、簡単な数字列などをまとめたリストを使って、パスワードを順番に試す攻撃手法です。
名前に「辞書」とついていますが、本の辞書そのものを使うわけではありません。実際には、攻撃者が用意した「よく使われる文字列の一覧」を使って、ログインや認証を突破しようとします。
つまり辞書攻撃は、すべての文字の組み合わせを総当たりするのではなく、最初から「使われやすい候補」に絞って試す攻撃だと考えるとわかりやすいです。
どのように動くのか
辞書攻撃では、攻撃者があらかじめ作成した候補リストを使い、1つずつパスワードを試します。たとえば、次のような文字列が狙われやすいです。
- password
- qwerty
- 123456
- abc123
- 学校名や会社名
- 自分の名前やペットの名前
- 誕生日や電話番号に近い数字
こうした候補は、利用者が覚えやすさを優先して設定しがちです。攻撃者はその傾向を利用して、短時間で認証突破を狙います。
すべての文字列を試すより効率がよいため、弱いパスワードを使っていると、思っているより早く破られる可能性があります。
ブルートフォース攻撃との違い
辞書攻撃とよく混同されるのが、ブルートフォース攻撃です。どちらもパスワードを試す攻撃ですが、考え方が違います。
| 攻撃手法 | 特徴 | 向いている相手 |
|---|---|---|
| 辞書攻撃 | よく使われる単語や文字列を優先して試す | 単純なパスワードを使う相手 |
| ブルートフォース攻撃 | 文字の組み合わせを総当たりで試す | 短いパスワードや制限の弱い認証 |
辞書攻撃は、効率重視の攻撃です。攻撃者は「人が選びそうな文字列」を先に試します。一方でブルートフォース攻撃は、すべての組み合わせを試すため時間がかかります。
試験では、「よく使われる単語を使ったパスワード解析」が辞書攻撃だと整理しておくと迷いにくいです。
なぜ危険なのか
辞書攻撃が危険なのは、単純なパスワードを短時間で破られる可能性があるからです。ログイン情報が突破されると、その先でさまざまな被害につながります。
- メールアカウントへの不正ログイン
- SNSアカウントの乗っ取り
- ネットショップやネットバンキングの悪用
- 会社や学校のシステムへの侵入
- 他サービスへの使い回しによる被害拡大
特に危険なのは、同じパスワードを複数のサービスで使い回している場合です。1つのサービスで突破されると、別のサービスでも同じ情報でログインされるおそれがあります。
狙われやすいパスワードの特徴
辞書攻撃に強くないパスワードには共通点があります。覚えやすい反面、推測されやすいのが問題です。
- 英単語だけで作られている
- 短すぎる
- 自分の名前や誕生日が入っている
- 1234やabcdのような単純な並び
- 学校名や会社名など身近な言葉が入っている
- 他のサービスでも同じものを使っている
「自分しか知らないから大丈夫」と思っていても、実際には推測しやすい情報が多く含まれていることがあります。覚えやすさだけで決めると、辞書攻撃に弱くなりやすいです。
対策方法
辞書攻撃への対策は、推測しやすいパスワードを使わないことが基本です。さらに、システム側の対策も組み合わせることで、突破されにくくできます。
- 長くて複雑なパスワードを使う
- 英単語だけで作らない
- サービスごとに別のパスワードを設定する
- 多要素認証を設定する
- 連続ログイン失敗時の制限をかける
- パスワード管理ツールを活用する
特に効果が大きいのは、長くて使い回さないパスワードと多要素認証の組み合わせです。仮にパスワードが推測されても、追加の認証があれば突破されにくくなります。
利用者側で意識したいこと
辞書攻撃は、技術的な攻撃のように見えて、実は利用者のパスワードの作り方に大きく左右されます。つまり、日頃の管理でかなり防ぎやすい攻撃です。
覚えやすい単語をそのまま使うより、複数の単語や記号、数字を組み合わせて長くするほうが安全です。また、無理に全部を暗記しようとせず、信頼できるパスワード管理ツールを使う方法もあります。
大切なのは、「覚えやすい=安全」ではないと理解することです。安全性を優先して管理する意識が必要です。
システム側でできる対策
辞書攻撃は、利用者だけでなく、システム側の設計でも防ぎやすくなります。管理者が意識したい対策は次の通りです。
- ログイン失敗回数に応じて一時的に制限する
- 一定回数以上でアカウントロックをかける
- 多要素認証を必須にする
- 推測しやすいパスワードを登録できないようにする
- 認証ログを監視して不自然な試行を検知する
こうした仕組みがあると、攻撃者が大量に試すことが難しくなります。辞書攻撃は試行回数を重ねる攻撃なので、試行しにくい環境を作ることが有効です。
情報セキュリティマネジメント試験での押さえ方
情報セキュリティマネジメント試験では、辞書攻撃はパスワード攻撃の基本用語として問われやすいです。意味だけでなく、ブルートフォース攻撃との違い、対策まで押さえておく必要があります。
- 辞書攻撃は、辞書ファイルの文字列を順番に試す攻撃
- 単純なパスワードほど突破されやすい
- ブルートフォース攻撃より効率重視の手法
- 対策は長く複雑なパスワードと多要素認証
- ログイン失敗制限も有効な対策
選択問題では、辞書攻撃の説明として「辞書にある単語やよく使われる文字列を用いてパスワードを解析する攻撃」が正解になりやすいです。用語だけでなく、なぜ危険なのかまで理解しておくと解きやすくなります。
まとめ
辞書攻撃は、よく使われる単語や文字列を順番に試してパスワードを破ろうとする攻撃です。総当たり攻撃よりも効率がよく、単純なパスワードほど狙われやすいのが特徴です。
- 辞書攻撃は、使われやすい単語を中心に試す攻撃
- ブルートフォース攻撃より効率よく突破を狙う
- 弱いパスワードや使い回しが大きなリスクになる
- 長く複雑なパスワードと多要素認証が基本対策
- 試験ではパスワード攻撃の代表例として押さえたい
辞書攻撃は、情報セキュリティマネジメント試験でも押さえておきたい基本用語のひとつです。意味だけで終わらせず、ブルートフォース攻撃との違いや対策までセットで覚えると得点につながりやすくなります。
コメント