パスワードクラッキングの仕組み

Uncategorized / By / May 23, 2023

パスワードは、アカウントにアクセスするための障壁となるため、サイバー犯罪者はパスワードをターゲットにすることに熱心です。パスワードの解読は非常にポピュラーな行為ですが、その方法は1つではありません。

では、どのような方法でパスワードのクラッキングが行われ、それを回避することができるのでしょうか。

パスワードクラッキングとは?

パスワードクラッキングとは、ユーザーのパスワードを解読し、そのアカウントをサイバー犯罪者にハッキングさせることです。

銀行業務、社交、ショッピング、仕事など、私たちが利用する多くのアカウントはパスワードで保護されています。

パスワードクラッキングの登場です。様々な方法を用いて、悪意ある行為者はあなたの本当のパスワードを知ることができ、メールアドレスやユーザー名(これらは心配なほど簡単に手に入れることができます)も知っていれば、あなたのアカウントにアクセスすることができます。

パスワードの複雑さによっては、数秒から数百万年の間に解読される可能性があります。単純なパスワードは明らかにクラックされやすいので、ハッカーを追い払うためにパスワードを効果的に構成することが重要です(これについては後述します)。

最も一般的なパスワードクラックの方法

長年にわたり、パスワードクラッキングの手法は多様化しており、中には成功例もあります。では、ハッカーはどのような方法でパスワードを解読するのが一般的なのでしょうか。

1.ブルートフォースアタック

close up shot of fist in punch shape

ブルートフォースアタックは、サイバー犯罪者がアカウントをハッキングするために頻繁に使用されます。この方法は、パスワードに含まれる可能性のある文字、数字、記号の組み合わせをすべて洗い出すものです。これは、基本的に試行錯誤の方法であり、正しいフレーズに到達するまで続く消去のプロセスです。

ブルートフォースアタックは、文字や記号、数字が混在していないような単純なパスワードに特に効果的です。

ブルートフォースアタックは、1分以内に完了することができますが、もっと時間がかかるケースも多くあります。一部のサイバー犯罪者は、パスワードの価値に応じて、このプロセスを数週間、数カ月、あるいは数年間継続させることもあります。ブルートフォースアタックが成功すれば、正しいパスワードにたどり着き、ハッカーは侵害しようとしているものにアクセスできるようになります。

2.フィッシング

フィッシングは人気のあるサイバー犯罪の手口で、データの窃盗やマルウェアの拡散のために使用されることがあります。パスワードのクラッキングに関しては、データの窃盗がフィッシング攻撃の明らかな目的です。

フィッシング攻撃は、電子メール、SMS、ソーシャルメディア(特にDM)を介して行われることが一般的です。ログイン情報が標的の場合、攻撃は、悪意のある行為者が公式な団体を装った通信を標的に送ることが多い。

例えば、詐欺師は、被害者が選んだ銀行の従業員を名乗ってメールを送ることがあります。そのメールには、通常、自分の口座で異常な動きが検出されたので、それが自分であるかどうかを確認するためにオンラインでログインする必要があると記載されています。本文の下には、疑惑のログインページへのリンクが記載されています。しかし、実際には、これは公式のログインページとほぼ同じように見えるように設計された悪意のあるフィッシングページへのリンクであり、同時に入力されたデータを盗み出すものです。

被害者がこの詐欺に引っかかると、フィッシングページにログイン情報を入力し、その情報を攻撃者が収集します。この時点で、攻撃者は被害者のアカウントのユーザー名とパスワードを入手し、不正にアクセスすることができるようになります。

3.マンインザミドル攻撃

person looking through hole in brick wall

MitM(Man-in-the-Middle)攻撃は、その名が示すように、悪意のある行為者が被害者とアプリケーションやWebサイトの間に身を置くことを意味します。

中間者攻撃は、以下のような様々な形態で行われることがあります:

  • メールハイジャック。
  • HTTPS スプーフィング。
  • HTMLスプーフィング。
  • SSLスプーフィング。
  • Wi-Fiスプーフィング。

中間者攻撃の一形態として、悪意のあるオペレーターがユーザーとサーバー間のやり取りを積極的に盗聴することが挙げられます。このようなシナリオでは、攻撃者は脆弱性を利用してネットワークにアクセスし、アプリケーションやサイトにセキュリティの脆弱性がないかスキャンします。脆弱性が見つかると、それを標的にし、侵害されたネットワークを通じてアプリやウェブサイトとやりとりするユーザーを標的にし始めるのです。

そして、被害者が何らかのデータを入力したり、アプリケーションからデータを受信したりすると、攻撃者が閲覧できるようになる。この場合、パスワードを入力すると、攻撃者がそれを取得することができます。このデータを復号化する必要がある場合は、次のステップに進みます。これで、被害者のデータは、悪意のあるオペレーターが好きなように使うことができる。

4.キーロギング

smartphone with eye on screen chained to padlock 画像引用元:Stock Catalog/Flickr

キーロギングとは、デスクトップPC、ノートPC、タブレット、スマートフォンなど、被害者がデバイス上で行うすべてのキーストロークを記録するデータ窃盗の方法です。

キーロガーはマルウェアの形で登場します。これは、攻撃するために使用される悪意のあるプログラムです。デバイスがキーロガーに感染すると、悪意のあるオペレーターは、被害者が入力した電子メール、支払い情報、ログイン認証など、あらゆるものを見ることができます!

そのため、キーロガーに感染したデバイスでアカウントにログインしたり、メモアプリやパスワード管理ツールにログイン情報を入力したりすると、入力した内容がすべて見られてしまいます。これらの認証情報は攻撃者に奪われ、あなたのオンラインアカウントの1つ以上にアクセスするために使われることになります。

デバイスが感染した場合にデータを保護するために、キーロガーの検出と削除の方法を知っておく必要があります。

パスワードの解読を回避する方法

パスワードのクラッキングを防ぐには、いくつかの対策が必要です。まず、使用するパスワードから始めましょう。すべてのアカウントにシンプルなパスワードを使用するのは魅力的ですが、これはパスワードクラッキング、特にブルートフォースアタックに大きくさらされることになります。ほとんどのウェブサイトでは、大文字と小文字の混在、記号と数字の使用、最小限の長さなど、パスワード作成のためのいくつかの要件を概説しています。

しかし、パスワードに個人情報(例:誕生日、名前など)を使用することは避けるべきです。また、すべてのアカウントで同じパスワードを使用することも避けなければなりません。もし、あなたの情報が攻撃者の手に渡ってしまった場合、攻撃者は1つ以上のアカウントを危険にさらすことで、さらに大きなダメージを与える可能性があります。

パスワードを見直すだけでなく、フィッシング詐欺を見分ける方法も知っておく必要があります。フィッシングの兆候には、次のようなものがあります:

  • スペルや文法が悪い。
  • 変わったメールアドレス。
  • 提供されたリンク。
  • チェックサイトが悪質と判断したリンク。
  • 過度に説得力のある、または急を要する表現。

さらに、2要素認証や多要素認証を利用して、アカウントにさらなるセキュリティを加えることも検討すべきです。この方法では、攻撃者があなたのユーザー名とパスワードを使用してログインしようとした場合、まずSMSや電子メールなどの別のデバイスまたはチャネルからログインの試みを確認する必要があります。

パスワードクラッキングで誰もが危険にさらされる

パスワードクラックの技術が、世界中のユーザーのセキュリティとプライバシーを脅かしていることは間違いない。すでにパスワード・クラッキングによって膨大な量のデータが盗まれており、自分も狙われないとは言い切れない。自分のアカウントを安全に保つために、この悪意のあるベンチャー企業に近づかない方法を知っておく必要があります。

関連記事

Scroll to Top