連載
» 2016年02月03日 05時00分 UPDATE

セキュリティ、いまさら聞いてもいいですか?(5):なぜ、パスワードが盗まれるの?――攻撃者がパスワードを盗む手法と対策を分かりやすく解説 (1/4)

セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第5回のテーマは、「パスワード漏えい」です。「ブルートフォース攻撃」や「辞書攻撃」などの古典的な手法に加えて、「フィッシング」「盗聴」などあらゆる方法でパスワードを窃取しようとする攻撃者に対しては、どのような対策が有効なのでしょうか。さまざまな認証方式の紹介も含めて解説します。

[増井敏克,@IT]
「セキュリティ、いまさら聞いてもいいですか?」のインデックス

連載目次

パスワードはどうやって盗まれるの?

先生、大変です! 私が使っているWebサービスで、身に覚えのないログイン履歴があります。


誰かにアカウントを乗っ取られているのかもしれません。


 サイバー攻撃の対象として、最も狙われやすい情報の一つが「パスワード」です。パスワードを盗み出せば、攻撃者はユーザーに成り代わってさまざまな操作を行い、情報や金銭を窃取することができます。

 パスワードを守る方法としては、「パスワードを定期的に変更する」「複雑なパスワードを設定する」といった対策が常識だと思っている方は多いでしょう。しかし、パスワードを定期的に変更しても、パスワードを盗まれれば、次に変更するまでの間はログインし放題になってしまいます。これは複雑なパスワードを設定していても同じです。

 では、パスワードはどうやって盗まれるのでしょうか? 最も単純な方法は「盗み見」です。パスワードを入力しているところを、後ろを通った人が肩越しに見ていたら、簡単なパスワードであればすぐに覚えられてしまうかもしれません。

 もう少し手間を掛ける方法としては、「ブルートフォース攻撃(総当たり攻撃)」や「辞書攻撃」などの解析手法があります。ブルートフォース攻撃とは、考えられる全てのパスワードを順番に試していく方法です。短いパスワードであれば、これだけですぐに見つけられてしまいます。辞書攻撃は、辞書に載っているような単語を順に試す方法です。辞書に載っているような言葉は覚えやすいため、パスワードに使っている人が多いのです。これらの方法は「一定回数パスワードを間違えるとアカウントがロックされる」ようなサービスには使えませんが、古くからあるパスワードの解析方法です。

私が使っているパスワードは複雑で長いパスワードですし、意味のある言葉でもありません。簡単には分からないはずです。


どこかからパスワードが流出する可能性もあります。


 アルファベット、数字、記号を織り交ぜた複雑で長いパスワードを、ブルートフォース攻撃などで見つけ出すことは困難です。しかし、このようなパスワードでも、攻撃者に知られてしまうケースがあります。

 例えば、前回の記事にも登場した「フィッシング詐欺」です。メールに記載されているリンクから攻撃者のサイトにアクセスし、IDやパスワードを入力してしまうと、その内容を盗み取られてしまいます。あるいは、Webサイトやメール経由でユーザーのPCをウイルスに感染させ、キー入力の記録を窃取するなどの方法もあります。

フィッシングのイメージ(出典元:IPA

 また、IDやパスワードの管理が適切でないサイトからの漏えいというケースもあります。通常、Webサービスではパスワードを暗号化して保存しますが、中にはパスワードを暗号化せずに保存しているずさんなサイトもあります。このようなサイトが攻撃を受けると、保存されているパスワードがそのまま流出してしまう可能性があります。

 さらに、事例は少ないかもしれませんが、「盗聴」も流出経路の一つとして考えられます。IDやパスワードを入力するサイトとの通信が暗号化されていない場合、通信経路の途中で通信内容を誰かに盗聴され、パスワードを知られてしまうことがあります。

Quiz:パスワードを盗まれると何が起きるのでしょうか?

次ページから、パスワード入手後の攻撃者の行動について解説します。

       1|2|3|4 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。