近年、個人では『フィッシングによる個人情報等の詐取』を始めとして、『クレジットカード不正利用』や『スマホ決済不正利用』等のリスク、
組織においても、『ランサムウェアによる被害』や、『標的型攻撃』、『サプライチェーンの脆弱性』等のリスクが挙げられるなど、
不正アクセスに起因するリスク件数は右肩上がりに増加しています。

こうしたリスクをもたらしてしまう原因の1つとして、『辞書攻撃』を始めとした攻撃による『パスワードの漏洩』が挙げられます。
不正アクセスを防ぐため、『辞書攻撃』等の攻撃を回避する対策が求められています。

まず、ユーザーログイン認証を突破するための攻撃手法として、『辞書攻撃』と類似する手法を下記に3つ紹介します。

①総当たり攻撃（ブルートフォース攻撃）
総当たり攻撃は別名『ブルートフォース攻撃』と呼ばれています。
特定のIDに対し、ランダムな文字列のパスワード候補を機械的に試行していく攻撃手法です。

極端な例を挙げると、3桁のパスワードは10の3乗、つまり『1000パターンを試せば確実に【当たり】を導き出せる』といった具合です。
年々コンピューター性能は進化しているため、過去には突破が難しかった桁数でも、最近は簡単に突破されてしまいかねません。

②パスワードリスト攻撃
パスワードリスト攻撃は、攻撃者が不正に入手したパスワードをリスト化し、成功確率の高い文字列から順にログインを試みる攻撃手法です。
現在は『ダークウェブ』などを介し、過去に漏えいしたIDやパスワードが攻撃者間で取引されています。
攻撃者はこういったリストを入手し、複数のサービスに対し攻撃を仕掛けることにより、ユーザーログイン認証の突破を狙うのです。
複数サービスで『パスワードを使い回している』場合、認証が突破されてしまうので要注意です。

③リバースブルートフォース攻撃（パスワードスプレー攻撃）
『リバースブルートフォース攻撃』は従来のユーザー認証突破の攻撃とは逆に、パスワードを固定し、IDを変えて試行していく攻撃です。
パスワードとして、未だに多くのアカウントが設定しているとされる「123456」等の文字列を利用し、『総当たり攻撃』と反対にIDを順に試行していき、
【当たり】のIDを解析します。

①の『総当たり攻撃』への対策として、数回のパスワードエラーでアカウントロックをする方法がありますが、
③の『リバースブルートフォース攻撃』では、パスワードを固定してIDを変えていく手法のため、パスワードエラーによるアカウントロックを回避出来てしまうケースがあります。

③の『リバースブルートフォース攻撃』を複数のパスワードで試行していくのが『パスワードスプレー攻撃』です。
「123456」というパスワードを複数のIDで試行した結果、認証が突破できない場合、順に「123456789」、「password」といったように、
パスワードを次々と切り替えて同様に試行していき、突破を狙う攻撃です。

こうした認証突破型の攻撃により生じる不正アクセスは、様々な被害を連鎖的に招きかねません。
利用するユーザー側と、サービス事業者側のそれぞれの視点で、主なリスクをご紹介します。

■利用するユーザー側へのリスク
・なりすまし
不正アクセスによってアカウントを乗っ取られます。
万が一、ネットバンキングのアカウントなどが乗っ取られてしまうと、不正送金などの被害に繋がる可能性があります。
SNSのアカウントを乗っ取られてしまうと、フォローしている友人や知人にフィッシング詐欺のメッセージが送付される等、
波状的に被害が広がる恐れもあります。

・個人情報の窃取
ネット上のサービスアカウントに不正アクセスされることで、保存されている住所や電話番号等の個人情報が漏洩する可能性があります。

・マルウェア感染
不正アクセスによって個人情報が漏洩した結果、それを悪用する更なる攻撃により、マルウェア感染等の二次、三次被害に繋がります。
漏洩した個人情報を元に、『標的型攻撃』が実行される可能性もあります。

■サービス事業者側へのリスク
・個人情報や機密情報等の窃取
不正アクセスにより、サーバー等に保存されている個人情報を始めとする機密情報が漏洩する危険性があります。
情報漏洩の場合、企業の信頼失墜等、直接的または間接的な被害に繋がる恐れがあります。

・Web改ざん
CMS等のWeb管理システムが不正アクセスを受けると、Webサイトを改ざんされてしまう恐れがあります。
改ざんされたWebサイトは、悪意のあるプログラムやスクリプトを埋め込まれる等、様々な形で攻撃者をほう助してしまう可能性があります。

・マルウェア拡散、感染
Webサイトの改ざんによって意図せず、Webサイトの訪問ユーザーにマルウェアを拡散してしまいます。
また、自社システムがマルウェア感染すると、サービス提供に大きな支障を及ぼします。

・システム停止
システムへの不正アクセスにより、最悪の場合システム停止に追い込まれる場合があります。
その際、システム復旧まで業務遂行に多大な悪影響を与えることになります。

・『DDoS攻撃』などの踏み台にされる
マルウェア感染により、攻撃者から遠隔操作が可能になることで、『DDoS攻撃』などの踏み台にされてしまいます。
この場合、他への攻撃に加担することになりかねません。状況により被害が甚大となってしまう恐れがあります。

こういった攻撃を受ける事で、多くの様々なリスクが生じ、被害に繋がってしまいます。
利用するユーザー側と、サービス事業者側のそれぞれ求められる視点で、
攻撃も含め、不正アクセス・侵入・なりすましへの代表的な対策を併せてご紹介します。

◆利用するユーザー側の対策
・推測されにくいパスワード設定
Webサービスへの登録時に「123456」や「password」などの推測されやすいパスワードを設定しないことです。
15桁以上のランダムな文字列が望ましいとされています。

・パスワードの使い回しをしない
複数サービスの間でパスワードの使い回しをしないことも基本的な対策の1つです。

・パスワードマネージャーの利用
単純なパスワードの設定、重複利用を避けるための方法として、『パスワードマネージャー』の利用が挙げられます。
『セキュリティソフトにバンドルされているもの』、
あるいは『ChromeなどのWebブラウザーに搭載されているもの』を利用すれば、安全性は高まるとされています。

・多要素認証の利用
パスワード以外の認証として、『多要素認証』を利用することにより、安全性が高まります。
近年、重要度の高いサービスについては、サービスの提供側が二要素認証を導入しているケースも少なくありません。


◆サービス事業者側の対策
・多要素認証の導入
認証システムにおいてパスワードだけではなく、生体認証やトークンを用いての『多要素認証』を取り入れ、ユーザーへの利用を積極的に促すことです。
ネットバンキングへの不正アクセス問題等が取り沙汰される際にも、『多要素認証』の利用をメディアでは推奨されています。

・（サービス側として）アカウントロック
複数回パスワードエラーが生じた際に、アカウントを一時的にロックするアカウントロック機能を導入することです。
ログイン画面上で、一定のエラーが生じるとロックされる内容の旨を明示しておくことが望ましいとされています。

・不正な通信への監視、検知、リクエストの接続拒否
IDS／IPS等の、システムへの不正アクセスを監視・検知し、攻撃を遮断する仕組みを導入することです。
こうした機能やファイアウォール機能を統合している『UTM』などの導入検討も望ましいとされています。

サービス事業者側としては、パスワード漏洩による不正アクセスは、深刻な信頼失墜に繋がるという認識を持ち、
先述した攻撃の発端となる、不正通信を日常から監視・遮断するために、日々セキュリティの意識を忘れずに対策を打つことが重要です。


参考：
https://e-words.jp/w/%E8%BE%9E%E6%9B%B8%E6%94%BB%E6%92%83.html

https://eset-info.canon-its.jp/malware_info/special/detail/220616.html