2021 年 5 月 4 日 Sam Manjarres 著

よく言われることですが、たった 1 つの脆弱なパスワードが、情報漏えいに繋がります。ハッカーの技術やツールが進化しているにもかかわらず、いまだに最も簡単なハッキング方法としてパスワードのクラッキングが悪用されています。事実あまりにも単純なパスワードが使用されており、多くの場合、推測の必要すらありません。一番怖いのは、どれだけ安全なパスワードを会社の従業員が使用していても、たった 1 人の従業員が脆弱なパスワードを使用しているだけで、会社のシステム全体が侵害される危険性がある、ということです。

パスワードが企業にとって最大の脆弱性である理由は、以下の統計データが参考になります。

• 盗まれたパスワードや脆弱なパスワードを利用した情報漏えい件数は全体の 81% – 2020 年度ベライゾンデータ漏洩/侵害調査報告書
• 毎週 100 万件のパスワードが盗まれている – 2019 年 Breach Alarm
• データ侵害の平均被害コストは 130 万ドル- 2017 年 Ponemon Instituteの「情報漏えい時に発生するコストに関する調査（Cost of a Data Breach Report）」
• 最も一般的なマルウェアの 1 つはパスワードダンパー – 2020 年度ベライゾンデータ漏洩/侵害調査報告書

よく使われるパスワードハッキング方法は以下です。

◆ キーロガー

キーロガーは、キーボードのキー入力をすべて記録することで個人データへのアクセスを可能にするソフトウェアプログラムです。入力したパスワードやクレジットカード番号、閲覧した Web ページなどの情報をすべて、キー入力の記録によって窃盗します。

◆ ソーシャルエンジニアリング

これにはさまざまな種類がありますが、考え方は共通で、人を騙したり操ることで情報を漏えいさせたり特定の行動に誘導したりする手法です。パスワードを盗むためのソーシャルエンジニアリングに頻繁に使用されるのは、フィッシングや、トロイの木馬です。比較的少ないのはショルダーサーフィンと呼ばれる手法で、これはハッカーがユーザの背後からパスワードの入力を盗み見る行為です。

◆ 辞書攻撃

パスワード「辞書」から頻繁に使用される単語のリストを入力することで、パスワードを推測しようとする攻撃です。高度な辞書には、パスワードに最もよく使われる単語のリストが含まれています。比較的単純な方法ですが、あまり複雑でないパスワードを推測するには有効な方法です。従ってパスワードに実在する単語を使っている場合、その認証情報は脆弱ということです。

◆ 総当たり攻撃

辞書攻撃ほど効率的ではありませんが、総当たり攻撃は、最終的にパスワードを推測するのに効果的です。ハッカーがツールを使って、パスワードが解読されるまで、文字、数字、記号を組み合わせたあらゆるパスワードを繰り返し試行します。似たような方法に、逆総当たり攻撃があります。これはハッカーが 1 つのパスワードを多くのユーザ名に対して試行するものです。

◆ レインボー攻撃

レインボーテーブルと呼ばれるリソースを使用して、パスワードハッシュ (システムデータベースに保存された暗号化されたパスワード) を、総当たり攻撃や辞書攻撃よりもはるかに効率的かつ効果的に解読する方法です。

◆ クレデンシャルスタッフィング攻撃

アカウント間で同じパスワードを使用しているユーザが多いため、ハッカーはすでに侵害されたユーザ名とパスワードの組み合わせのデータベースリストを、標的となる Web サイトのログインに対して自動的に実行する方法を持っています。Shape Security によると、オンライン小売業者のログイン試行の 90％ はこの種の攻撃によるもので、3％ 程度のケースでこの方法が有効とのことです。

世界パスワードデーを機に、ユーザの認証情報を保護するよりスマートな方法を検討してみてはいかがでしょうか。ユーザ認証保護の最初のステップは多要素認証 (MFA) です。ユーザ名とパスワードだけでなく、ログインにセキュリティレイヤーを追加すれば、もし従業員のパスワードの 1 つが漏洩したとしてもハッカーがシステムにアクセスすることはできません。

従業員の電子メールの認証情報がダーク Web に流出していないか調べるには、こちらのリンクより、会社のドメイン名を検索してください。