図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

辞書攻撃(ディクショナリ攻撃) 図解サイバーセキュリティ用語

投稿日:2017年3月19日 更新日:

辞書攻撃(ディクショナリ攻撃)はユーザのパスワードや暗号キーを解読するために行う攻撃の1つです。コンセプトはブルートフォース攻撃と同じですが、辞書攻撃はブルートフォースより効率よく短時間で攻撃を行う事を目的としています。

ブルートフォース攻撃の弱点=時間がかかる

ブルートフォース攻撃は時間をかければ確実にパスワードを解析できますが、時間がかかるのが特徴です。lockdown.co.ukの調査によると、ブルートフォースで8桁のパスワードを解析しようとすると、下記の図のように膨大な時間がかかります。

パスワードの組み合わせと解読時間

多くの企業ではパスワードポリシーの要件として複雑性を必須としています。つまり、数字・アルファベット・記号・大文字小文字などの4つの種類から3つ以上を利用しないといけない等の設定を行っていますので、その場合ある程度性能の良いワークステーションでさえもパスワードの解析に2年3か月かかってしまいます。

辞書攻撃(ディクショナリ攻撃)の特徴

ブルートフォース攻撃を利用すれば時間はかかりますが、どのようなパスワードでも解析できます。ユーザがランダムなパスワードを作成しても解読可能です。一方で多くのユーザはパスワードの文字列をランダムに作成しません。なぜならユーザは自らが覚えやすいパスワードを設定するからです。この心理的傾向を基にした攻撃が辞書(ディクショナリ攻撃)です。辞書攻撃ではあらかじめユーザが利用する傾向にあるパスワード一覧や本物の辞書データベースを利用してパスワード候補一覧を作成して、それらを総当たりさせるのです。

辞書攻撃(ディクショナリ攻撃)の説明

これによって、短期間でパスワードを解析することが可能になります。一方で、辞書にないパスワードはヒットしませんので、解析率(クラック率)も低くなります。ただ、セキュリティ教育があまり行われていないセキュリティリテラシーの低い会社の社員に対してはとても効果的な攻撃方法のようです。

ちなみに、上の図ではパスワードを直接パソコンのログオン画面で試していますが、実際はADなどのアカウント管理サーバから取得したパスワードハッシュと辞書に登録されているキーワードのハッシュとを比較させる方法が主流です。

辞書攻撃の応用

攻撃者はターゲットの会社(もしくはパソコン)のパスワードポリシーを考慮して辞書を修正します。

辞書攻撃(ディクショナリ攻撃)の応用

たとえば、「a」を「@」に変換したり「l(エル)」を「1」に変換したり、ユーザが考えてそうな変換を辞書にも登録してヒット率を上げようとします。

広告

広告

-図解サイバーセキュリティ用語

関連記事

ステガノグラフィー(steganography)とは?

ステガノグラフィー(steganography)とは、主に画像などのデータに他のデータやメッセージを埋め込む事でデータ・メッセージを隠蔽するための技術の事を言います。 一般的に暗号データは暗号化されて …

ビジネスメール詐欺(BEC)とは? 図解サイバーセキュリティ用語 

IPAが偽口座への送金を促すビジネスメール詐欺への注意喚起を行っています。ビジネスメール詐欺はBECとも言われており、BECはBusiness Email Compromiseの略です。このビジネスメ …

二要素認証 図解サイバーセキュリティ用語

二要素認証とは以下の特徴を持つ要素(情報)の中から2つの要素を利用した認証方法です。 ユーザが知っている情報(Something you know) ユーザが持っている情報(Something you …

SQLインジェクション攻撃とは