Written by WizLANSCOPE編集部
目 次
ビジネス・プライベートを問わず、Webアプリケーションやクラウドサービスの利用が一般化し、ID・パスワードを設定する機会は年々増えています。
セキュリティを強化するためには、長く複雑なパスワードの設定が推奨されますが、利便性を優先し、覚えやすいパスワードを設定している方も少なくないでしょう。
一方で、「password123」や「名前+誕生日」のような推測されやすいパスワードは、攻撃者によって容易に突破され、不正アクセスやアカウント乗っ取りにつながるリスクがあります。
このように、人間が設定しがちなパスワードを集め、高速で試行する攻撃を「辞書攻撃」と呼びます。
本記事では、「辞書攻撃」の概要や想定されるリスク、個人・企業が実施すべき有効な対策についてわかりやすく解説します。
▼本記事でわかること
- 辞書攻撃の概要
- 辞書攻撃による被害
- 辞書攻撃への対策
辞書攻撃への理解を深め、セキュリティ対策を強化したい方は、ぜひ最後までご覧ください。
辞書攻撃とは?
辞書攻撃(Dictionary Attack)とは、人間が設定しがちなパスワードをリスト化し、高速で試行することで不正ログインを試みる攻撃です。
例えば、以下のようなパスワードは、辞書攻撃によって容易に突破される可能性があります。
- Password000
- admin
- yamada0708
- tokyo2026
また、業務で利用するアカウントに企業名やサービス名を含めている場合も、攻撃者に推測されやすく、不正アクセスのリスクが高まります。
万が一、不正ログインを許してしまうと、情報漏洩やデータ改ざん、不正利用などの被害につながる恐れがあります。
このような被害を防ぐためには、推測されやすい単語や単純な文字列を避けるだけでなく、多要素認証の導入やパスワード管理の見直しなど、認証セキュリティ全体を強化することが重要です。
辞書攻撃と類似した攻撃手法
辞書攻撃のほかにも、認証突破、つまり不正ログインを目的とした攻撃手法は存在します。
本記事では、辞書攻撃と混同されやすい以下の攻撃手法について紹介します。
| 攻撃名 | 概要 |
|---|---|
| パスワードリスト攻撃 | ・流出したID・パスワードの組み合わせを使い、別サービスへのログインを試みる攻撃 |
| ブルートフォース攻撃 | ・考えられる文字列の組み合わせを総当たりで試す攻撃 |
| リバースブルートフォース攻撃 | ・よく使われるパスワードを固定し、多数のIDに対してログインを試みる攻撃 |
それぞれの特徴や辞書攻撃との違いについて、詳しく見ていきましょう。
パスワードリスト攻撃
パスワードリスト攻撃とは、事前に入手したID・パスワードの組み合わせを利用し、不正ログインを試みる攻撃手法です。
「アカウントリスト攻撃」や「リスト型アカウントハッキング」と呼ばれることもあります。
攻撃者は、過去の情報漏洩事故などによって流出した認証情報を利用します。
これらの情報は、ダークウェブと呼ばれる匿名性の高い領域で売買されるケースや、システムへ不正侵入し直接盗み出されるケースがあります。
仮に、流出したID・パスワードを複数のWebサービスやアプリケーションで使い回していた場合、別サービスにも次々と不正ログインされ、被害が拡大する恐れがあります。
ブルートフォース攻撃
ブルートフォース攻撃とは、あらゆるパスワードの組み合わせを総当たりで試し、認証突破を狙う攻撃手法です。
例えば、パスワードが「数字6桁」に設定されている場合、「000000」「000001」「000002」というように、パスワード候補を順番に変えながらログインを試みます。
辞書攻撃では、辞書に載っている単語や、人間が設定しがちな文字列からパスワードを推測しますが、ブルートフォース攻撃は、意味のある単語かどうかに関係なく、考えられる文字列を総当たりで試行する点が特徴です。
そのため、単純なパスワードだけでなく、桁数の短いパスワードも突破されるリスクがあります。
リバースブルートフォース攻撃
リバースブルートフォース攻撃とは、「ブルートフォース攻撃」とは逆に、パスワードを固定し、複数のユーザーIDを変更しながらログインを試みる攻撃手法です。
例えば、「123456」や「password」など、多くの人が使用しがちな単純なパスワードを固定し、ユーザーIDだけを次々に変更して認証を試行します。
この攻撃では、ログインの失敗が複数アカウントに分散されるため、「異なるユーザーによるログイン試行」と判定されやすいです。
つまり、一般的なアカウントロック機能を回避しながら、不正ログインを試みられる可能性があります。
辞書攻撃による被害リスク
辞書攻撃によって懸念される主な被害リスクは、以下の通りです。
- 情報漏洩
- アカウントの乗っ取り・なりすまし
- Webサイトの改ざん
- サーバーやシステムの停止・破壊
認証を突破され、PCやサーバーへ不正アクセスされた場合、顧客情報や従業員の個人情報など、さまざまなデータが盗み取られる可能性があります。
加えて、アカウントの乗っ取りや、正規ユーザーになりすました不正利用が行われる恐れもあります。
また、Webサイトを管理するサーバーへ不正アクセスされた場合、サイトの改ざん被害につながる可能性があります。
例えば、偽情報の掲載や、不正なリンクの埋め込みによって、サイト訪問者がマルウェアへ感染するケースも考えられます。
このような被害が発生すると、企業・組織の社会的信用の低下にもつながりかねません。
さらに、サーバーやシステムへ不正ログインした後、意図的に高負荷をかけられることで、システム停止や破壊などの深刻な被害に発展する危険性もあります。
辞書攻撃を防ぐために個人でできること
辞書攻撃の対策としては、容易に推測されない強固なパスワードを設定することが重要です。
単純なパスワードは短時間で解読される可能性があるため、十分な長さを持ち、複雑な文字列を設定することが求められます。
パスワード生成ソフトなどを利用して強固なパスワードを作成する方法もありますが、アカウントごとにランダムな文字列を記憶するのは容易ではありません。
そこでおすすめしたいのが「パスフレーズ」の活用です。
パスフレーズとは、「Makkana Ring0 ha_Oisii!」のように、複数の単語を組み合わせて作成する長い文字列を指します。
一般的なパスワードは8〜10文字程度で構成されるケースが多い一方、パスフレーズは文章やフレーズに近い形式で作成できるため、文字数を長くしやすく、解読に時間がかかるという特徴があります。
また、意味を持たないランダムな文字列とは異なり、複数の単語を組み合わせることで、長くても覚えやすい点もメリットです。
ただし、どれだけ強固なパスワードを設定していても、同じパスワードを複数のサービスで使い回すことは避けるべきです。
仮にひとつのサービスから認証情報が漏洩すると、他のサービスにも不正ログインされ、被害が拡大する恐れがあります。
そのため、パスワードはサービスごとに異なるものを設定することが大切です。
一方で、複数の強固なパスワードを個人で安全に管理するのは簡単ではありません。
そこで活用したいのが「パスワードマネージャー」です。
パスワードマネージャーを利用すれば、複雑なパスワードを安全に保管・管理できるようになるため、サービスごとに異なる強固なパスワードを設定しやすくなります。
パスフレーズの作成ポイントについては、以下の記事で詳しく紹介しています。ぜひあわせてご覧ください。
辞書攻撃対策として企業が実施すべきこと
辞書攻撃を防ぐためには、前述したような従業員個人による対策も重要ですが、企業・組織として認証を強化することも欠かせません。
個人のパスワード管理に依存するだけでは、認証情報の漏洩やパスワードの使い回しなどによるリスクを十分に防ぎきれない可能性があります。
例えば、以下のような対策を実施することで、企業全体での認証セキュリティを高めることができます。
- 多要素認証の導入
- アカウントロックの実施
- 不正アクセス検知システムの導入
- 定期的な脆弱性診断の実施
それぞれの対策について、詳しく確認していきましょう。
多要素認証の導入
多要素認証(MFA)とは、ユーザーの身元確認を強化するために、「知識情報」「所持情報」「生体情報」のうち、2つ以上の要素を組み合わせるセキュリティ手法です。
| 知識情報 | パスワードなどの特定のユーザーのみが知っている情報 |
|---|---|
| 所持情報 | スマートフォンやICカードなど利用者本人が所持している情報 |
| 生体情報 | 指紋や静脈、顔、虹彩など、本人固有の身体情報 |
多要素認証を導入することで、仮にパスワードが漏洩したり推測されたりしたとしても、不正にログインされるリスクを大幅に低減できます。
アカウントロックの実施
アカウントロック(ログイン試行回数の制限)を実施することも、辞書攻撃への有効な対策の1つです。
辞書攻撃では、攻撃者がリスト(辞書)に登録された単語や文字列を順番に試しながら、認証突破を狙います。
そのため、ログイン失敗が一定回数続いた場合に、アカウントを一時的にロックする仕組みを導入することで、無制限にパスワード候補を試行されるリスクを抑制できます。
また、短時間に大量のログイン試行を行う攻撃への対策としても有効です。
不正アクセス検知システムの導入
不正アクセス検知システムを活用し、ネットワークを継続的に監視することで、不正アクセスや異常な通信パターンを早期に検知できます。
代表的な対策として、IDSやIPSが挙げられます。
| IDS(不正侵入検知システム) | ・ネットワーク上の通信を監視・分析し、不正アクセスや攻撃の兆候を検知する |
|---|---|
| IPS(不正侵入防御システム) | ・ネットワークを継続的に監視し、不正アクセスや異常なパターンを検知すると同時に、自動的に通信を遮断・防御する |
また近年では、AIを活用した「NDR(Network Detection and Response)」と呼ばれるソリューションも注目されています。
NDRは、ネットワーク上の通信や端末の振る舞いを分析し、通常とは異なるアクセスや不審な挙動を検知するソリューションです。
例えば、アカウントロックの設定が難しい環境であっても、AIによる異常検知を活用することで、不審なログイン試行や攻撃の兆候を検知・ブロックできる可能性があります。
こうしたシステムを採用することで、不正アクセスがあった場合、速やかに対処することが可能です。
定期的な脆弱性診断の実施
定期的な脆弱性診断の実施も、不正アクセス対策として重要です。
脆弱性診断を行うことで、企業のシステムやネットワーク、Webサイト、アプリケーションなどに存在するセキュリティ上の欠陥(脆弱性)を把握できます。
これにより、攻撃を受ける前に必要な対策を講じられるため、被害の未然防止につながります。
脆弱性診断には、大きく分けて「手動診断」と「ツール診断(自動診断)」の2種類があります。
| 診断方法 | メリット | デメリット |
|---|---|---|
| 手動診断 | ・状況や対象に応じて柔軟に診断できる | ・実施に時間がかかり、コストが高くなる場合がある |
| ツール診断(自動診断) | ・手軽に実施しやすく、コストを抑えやすい | ・誤検知や検出漏れが発生する可能性がある |
それぞれにメリット・デメリットがあるため、予算や目的、求める診断精度などに応じて適切に選択することが重要です。
辞書攻撃対策として注目される「パスワードレス認証」
パスワードレス認証とは、その名の通り、パスワードを使用せずに本人確認を行う認証方式です。
代表例としては、指紋・顔・虹彩など、その人固有の身体的特徴を利用する「生体認証」が挙げられます。
また近年では、スマートフォンやセキュリティキーを利用したFIDO認証なども普及が進んでいます。
従来のID・パスワード認証は、パスワードの使い回しや漏洩、推測による不正アクセスのリスクがあることから、近年では「脱パスワード化」が注目されています。
パスワードレス認証を導入することで、辞書攻撃による不正ログインのリスクを大幅に低減できるほか、サービスごとにパスワードを記憶・入力する手間を減らすこともできます。
さらに、従業員がパスワードを忘れた際のリセット対応など、管理者側の運用負荷軽減も期待できます。
一方で、専用機器の導入やシステム改修など、一定の導入コストが発生するケースもあるため、セキュリティと利便性のバランスを考慮して導入を検討する必要があります。
認証セキュリティ強化を支援する「LANSCOPE プロフェッショナルサービス」
前述の通り、辞書攻撃をはじめとする認証関連の不正アクセス被害を防ぐためには、定期的な脆弱性診断の実施が重要です。
本記事では、認証セキュリティ強化を支援する「LANSCOPE プロフェッショナルサービス」の2つのサービスをご紹介します。
- クラウドサービスの認証設定ミスを防ぐ「クラウドセキュリティ診断」
- 認証関連の脆弱性を洗い出す「脆弱性診断・セキュリティ診断サービス」
それぞれのサービスの特徴を詳しく解説します。
クラウドサービスの認証設定ミスを防ぐ「クラウドセキュリティ診断」
「クラウドセキュリティ診断」では、Microsoft 365 や AWS などのクラウドサービスにおける設定不備を見直し、辞書攻撃をはじめとする不正アクセスリスクの低減を支援します。
例えば、多要素認証(MFA)の適用状況や、セッションタイムアウト時の自動ログアウト設定などを確認し、認証設定上のリスクを改善することで、辞書攻撃やパスワードリスト攻撃、ブルートフォース攻撃などへの対策強化につなげます。
また、知識豊富なベンダーがクラウドサービスの管理設定を診断し、設定ミスやセキュリティ上の不備を洗い出すことで、不正アクセスリスクの低減を図ることが可能です。
認証関連の脆弱性を洗い出す「脆弱性診断・セキュリティ診断サービス」
脆弱性診断・セキュリティ診断は、お客様のサーバーやネットワーク、アプリケーションにセキュリティ上の欠陥(脆弱性)がないかを評価するサービスです。
本診断では、辞書攻撃で悪用される「認証周り」の現状環境について、以下の観点から確認を行います。
- アカウントロックが適切に設定されているか
- 多要素認証(MFA)が設定されているか
- エラーメッセージから認証情報を推測できる状態になっていないか
- パスワードの強度が十分か
本診断を実施することで、自社環境が辞書攻撃に対して十分な耐性を備えているかを把握できるほか、認証設定上の課題や改善ポイントを明確にすることが可能です。
また、現状のリスクを可視化することで、優先的に対処すべき脆弱性への効率的な対策にもつなげられます。
まとめ
本記事では、「辞書攻撃」をテーマに、攻撃の仕組みや被害リスク、有効な対策について解説しました。
本記事のまとめ
- 辞書攻撃とは、一般的な単語や人物名などをまとめた「パスワードリスト(辞書)」を利用し、不正ログインを試みるサイバー攻撃手法
- 辞書攻撃によって、「情報漏洩」「アカウントの乗っ取り・なりすまし」「Webサイト改ざん」「サーバー・システム停止」などの被害が発生する可能性がある
- 辞書攻撃への対策としては、強固なパスワード設定や多要素認証の導入に加え、認証関連の脆弱性診断を実施することも重要
辞書攻撃では、あらかじめ作成された「よく使われるパスワードリスト(辞書)」を利用してログインを試行するため、すべての組み合わせを試すブルートフォース攻撃よりも、効率的に不正ログインを成功させるケースがあります。
万が一、不正アクセスを許してしまうと、情報漏洩やなりすましなど、企業・組織に深刻な被害をもたらす可能性があります。
そのため、単純なパスワードや使い回しを避けるだけでなく、多要素認証の導入や認証設定の見直しなどを通じて、認証セキュリティを強化することが重要です。
なお、「自社の認証対策が十分かわからない」「辞書攻撃への耐性を確認したい」という場合は、専門家による脆弱性診断の活用がおすすめです。
「LANSCOPE プロフェッショナルサービス」では、認証設定や脆弱性の課題を可視化し、不正アクセス対策の強化を支援するサービスを提供しています。
ぜひ実施をご検討ください。
おすすめ記事
