近年、パスワードクラックによって個人情報の流出や不正ログインといった被害が増えています。特に、人および機密情報を取り扱うことの多い企業にとっては、サイバー攻撃は徹底して防ぎ、甚大な被害が出ないように最善の処置を実施すべきです。
そこで今回は、パスワードクラックについて、種類や起こりうる被害と対策をご紹介します。
1. パスワードクラックとは
パスワードクラックとは、SNSや会員サイト、ネットショプなどのデータを解析して、不正にパスワードを割り出す行為を指します。
ログインの必要があるWebサイトに様々な手法を用いてパスワードを割り出し、アカウントに紐づいている情報を盗む犯罪行為です。
インターネットが普及している昨今において、Web上には多数の個人・機密情報が溢れています。
その中でも脆弱性のあるWebサイトに収納されている情報を窃取する方法の1つが、パスワードクラックです。
2. パスワードに関するユーザー意識
IPA(独立行政法人情報処理推進機構)の調査によると、パスワードに関するユーザー意識は低いことがわかります。
現に、管理しているID(アカウント)が2種類以上あると回答した方のうち、サービスごとに異なるパスワードを設定していると回答したのは約32.4%です。
残りの67.6%はサービスによってパスワードを変えておらず、同一のものを使用していると回答しています。
つまりパスワードクラックの被害に1度でも遭ってしまうと、他のサービスサイトや決済に使用するパスワードも割れてしまう可能性が高いです。
上記のようなユーザーのセキュリティ意識の低さは、パスワードクラックの被害を甚大にさせてしまうでしょう。
3. パスワードクラックで起こる被害
パスワードクラックで起こる企業側の被害は、主に以下の通りです。
・個人情報・機密情報の流出
・損害賠償・補償責任が問われる
・企業・Webサイトの信用低下
では、それぞれの被害について詳しく解説します。
3-1. 個人情報・機密情報の流出
パスワードクラックをされてしまうと、ログインしたアカウントの情報が窃取されるため、個人情報・機密情報が流出します。
銀行口座・クレジットカード番号を登録しているWebサイトにパスワードクラックされた場合、金銭的な被害を受けてしまうでしょう。
個人情報・機密情報の流出は、企業だけでなく顧客や取引先の損害にもつながります。
そのため、個人情報・機密情報を管理しているWebサイトやアプリは、パスワードクラックやランサムウェアの被害は徹底して排除しなくてはいけません。
3-2. 損害賠償・補償責任が問われる
個人情報や機密情報が流出すると、被害者側から流出させた企業へ損害賠償や補償責任を求められるケースもあります。
被害規模が甚大になるほど、相応の損害賠償や補償責任を負わなくてはならず、事業にとって大きな損失になる可能性も高いです。
3-3. 企業・Webサイトの信用低下
パスワードクラックは、徹底したセキュリティマネジメントを行えば防げるものです。
そのため、パスワードクラックの被害を受けるのは、企業の怠慢とみなされ、信用を失うことになるでしょう。
また、個人情報が流出したという記事がインターネット上に掲載されると、検索すれば確認ができてしまいます。
そうなると、継続的に会社としての信用性が疑われることになり、徹底したセキュリティマネジメントを行っても、イメージを払拭するのは難しいでしょう。
4. パスワードクラックの種類
パスワードクラックにはいくつか種類があり、おおよそ以下に分けられます。
・ブルートフォースアタック(総当たり攻撃)
・ディクショナリーアタック(辞書攻撃)
・リバースブルートフォースアタック(逆総当たり攻撃)
・パスワードリスト攻撃(アカウントリスト攻撃)
それぞれどのような手口でパスワードを割り出すのかを見ていきましょう。
4-1. ブルートフォースアタック(総当たり攻撃)
ブルートフォースアタックは、文字の羅列を総当たりで入力してパスワードを解析する方法です。
文字数の少ないパスワードや、単純な単語に設定している場合は、ブルートフォースアタックによって看破されてしまうでしょう。
4-2. ディクショナリーアタック(辞書攻撃)
ディクショナリーアタックは、人間の習慣に依存したパスワードクラック方法です。
パスワードは自身が覚えやすいものと意識するあまり、
・誕生日
・出生地
・名前(親・自分・子ども・ペット)
といった基本的な単語を選んでしまいます。
ブルートフォースアタックとは異なり、意味のある単語の羅列でパスワードの解読を試みるため、ディクショナリーアタックのほうが効率的です。
4-3. リバースブルートフォースアタック(逆総当たり攻撃)
リバースブルートフォースアタックは、1つのパスワードに対して対応するIDやアカウントが見つかるまで試す方法です。
IDの試行回数が制限されているWebサイトの場合に有効な手口で、入力回数によってバレることはありません。
特定のIDよりも、複数のIDリストを取得している際にリバースブルートフォースアタックを仕掛けます。
4-4. パスワードリスト攻撃(アカウントリスト攻撃)
パスワードリスト攻撃は、事前に取得したIDとパスワードを用いて、他Webサイト・サービスに不正ログインする手法です。
パスワードを使いまわしている方が、パスワードリスト攻撃の被害に合いやすく、上記をきっかけに口座番号やクレジットカード番号が流出する可能性があります。
5. パスワードクラックへの対策
パスワードクラックの被害から守るには、適切な対策方法を知っておくべきです。
ここでは、主に5つの対策法について解説しますので、ぜひ積極的に導入して、パスワードクラックからの攻撃を防いでいきましょう。
5-1. 二段階認証の導入
二段階認証は、一段階目のログインを行った際に、登録されている電話番号やメールアドレスにパスワードを送り、記載している文字および数字を入力して認証する方法です。
二段階認証を設定しておけば、1段階目がパスワードクラックで破られたとしても、情報の流出を防ぐことができます。
5-2. ワンタイムパスワードを設定する
ワンタイムパスワードの設定もパスワードクラックへの有効的な対策です。
一定時間ごとに発行されるパスワードを入力して認証する仕組みで、同じパスワードでログインされる心配がありません。
5-3. パスワード入力回数の制限
ブルートフォースアタックやディクショナリーアタックを防ぐために、ログイン時のパスワード入力回数を制限するのも最適です。
入力回数が制限されていなければ、1つのIDに対して無制限にパスワードを入力できてしまいます。
とはいえ、たった一回失敗しただけでロックされるのは、ユーザビリティの低下を招くでしょう。
そのため、3〜5回ほどの試行可能回数で、余裕を持たせておくといいかもしれません。
5-4. 本人認証の導入
本人にしかわからない内容の質問・回答をあらかじめ登録してもらい、普段と異なるデバイス・場所からのログイン時に入力してもらう本人認証もあります。
本人認証は、ユーザーが自由に回答を決められるので、セキュリティ面ではおすすめです。
ただし、ユーザー自身が本人認証の回答を忘れてしまうリスクもあるため、質問内容は
・出身小学校は
・飼っているペットの名前は?
・親の旧姓は?
といったわかりやすくも他者からは答えられないような質問を、Webサイト側で設定しておきましょう。
5-5. パスワードの安全度や最低文字数を設ける
パスワードの安全度や最低文字数を設定すると、ある一定のセキュリティレベルの担保が可能です。
上記のようなシステムを導入しておけば、ユーザー側でセキュリティマネジメントをしてもらえます。
近年では、パスワード強度に関するシステムを導入しているWebサイト・企業も多いので、積極的に導入してみましょう。
まとめ
今回は、パスワードクラックの種類や起こりうる被害と対策について解説しました。個人情報や機密情報を取り扱う以上は、高度なセキュリティマネジメントを徹底しなくてはいけません。
また、パスワードクラックだけではなく、現在では様々なサイバー攻撃やランサムウェアがあります。
そのため、セキュリティシステムや社内でできる対策は緻密に行い、もしもの被害や漏洩事故が起こらないよう精進しましょう。