辞書攻撃とは

会員登録するとキャリア診断やサイトに参加することができます。

あなたにおすすめな技術情報、資格、仕事などをお知らせします。

無料会員登録

辞書攻撃とは

投稿者： C-Tさん

投稿日：2023/03/01 16:43

更新日：

分類

技術

テクノロジー

セキュリティ

キャリア

テクニカルサポート

投稿内容

インターネットの普及により、個人・法人を問わず、多種多様なサービスが利用されている現代社会において、
こういったサービスのユーザー認証時に用いるID・パスワード等は攻撃者にとって格好のターゲットとなり、
一度でも不正アクセスを許してしまえば、深刻な被害に繋がりかねない現状があります。

今回は、こういったユーザー認証を突破する攻撃の一種である、『辞書攻撃』について紹介します。

『辞書攻撃（Dictionary Attack：ディクショナリーアタック）』とは、
パスワードの割り出し等、不明な文字列の推測を効率的に実行し、攻撃者が特定システムやサービスへのログイン認証を突破するための攻撃手法の1つで、
辞書や人名録等の、人間にとって意味のある一般的なキーワードの単語リストを候補とし、
それらの組み合わせや派生語等を、パスワード候補の文字列として辞書に登録して用います。

『人間はまったくランダムな文字列は覚えにくいので、何らかの意味のある単語を使いたがる』という心理を利用した攻撃で、

『推測されやすいパスワードに設定しない』という点が、セキュリティ対策の基本的な考えの1つとしてありますが、

これは、こうした辞書攻撃による『なりすまし』のリスクを軽減するための対策でもあるのです。

また、『辞書攻撃』をはじめとしたユーザー認証突破型の攻撃は、攻撃実行の際にサービス事業者のサーバーに過大な負荷をかけることにもなります。
『一定のIPアドレスからの異常なリクエストについては、接続を拒否する』等、サービス事業者側も対処を重ねてきているものの、
攻撃者側もIPアドレスを分散してリクエストを試行するなど、いたちごっこが続いているのです。

辞書攻撃への対処法としては、以下の対策があります。

・パスワード等の一部または全体を、全く無意味かつランダムな文字の並びにする（推測されにくいパスワードの設定）
・パスワードの使い回しをしない
・パスワードマネージャーの利用
・多要素認証の利用
・ユーザー認証の試行回数に制限（一定回数の連続失敗でアカウントをロックする等）を設け、攻撃者が大量のパターンを自動試行出来ないようにする

ユーザーにとって、パスワードの保護はセキュリティ対策の基本中の基本です。
『パスワードの漏えい』によって被害を受けるのは自分自身だという認識を持って、

厳重に管理できるよう対策を実行することが安全なサービス利用には求められるのです。

参考：

辞書攻撃（ディクショナリアタック）とは - 意味をわかりやすく - IT用語辞典 e-Words

辞書攻撃とは？どういった手法でどのようなリスクがあるのか | サイバーセキュリティ情報局 (canon-its.jp)