この記事では、パスワードクラッキング攻撃、その手法、防止策について説明します。パスワードクラッキング攻撃は、近年、最も一般的になっています。これらの攻撃は、サイバー犯罪者またはハッカーがユーザーのアカウントにアクセスするために実行します。サイバー犯罪者がユーザーのアカウントへのサインインに成功すると、ユーザーのアカウントは侵害されます。攻撃者は、ユーザーのアカウントから必要な情報をすべて取得できるようになります。
このような攻撃は、攻撃者がユーザーの銀行口座のユーザー名とパスワードを取得するためにも実行できるため、非常に危険です。
パスワードクラッキング攻撃とその手法
攻撃者が個人のパスワードを推測または発見しようとすると、パスワードクラッキング攻撃と呼ばれます。このようなタイプの攻撃は、金銭的損失を招く可能性があるため、非常に危険です(攻撃者が銀行の認証情報をクラッキングすることに成功した場合)。パスワードクラッキング攻撃には、さまざまな種類があります。ここでは、ハッカーまたはサイバー犯罪者がユーザーのパスワードをクラッキングするために使用する手法について説明します。
- ブルートフォース攻撃
- 辞書攻撃
- レインボーテーブル攻撃
- パスワードスプレー
- フィッシング
- キーロガー攻撃
- マルウェア攻撃
- クレデンシャルスタッフィング
- ショルダーステージング
始めましょう。
1] ブルートフォース攻撃
ブルートフォース攻撃とは、攻撃者が試行錯誤法を使用してユーザーのパスワードを推測する推測ゲームです。最も古いパスワードクラッキング攻撃の1つですが、依然としてサイバー犯罪者によって使用されています。この攻撃は、コンピューター、ネットワークサーバー、ユーザーアカウントの正しいパスワードをすべて試すソフトウェアを使用して実行されます。
2] 辞書攻撃
辞書攻撃とは、攻撃者が辞書にあるすべての単語を使用してユーザーのパスワードをクラッキングしようとするブルートフォース攻撃の一種です。一部のユーザーは、パスワードを作成するために単一の単語を使用します。辞書攻撃は、辞書にある最も難しい単語を使用している場合でも、そのようなユーザーのパスワードをクラッキングできます。
3] レインボーテーブル攻撃
レインボーテーブル攻撃は、ハッカーが誰かのパスワードをクラッキングするために使用するもう1つの方法です。このパスワードクラッキング方法は、ハッシュで機能します。アプリケーションは、パスワードをプレーンテキスト形式で保存しません。代わりに、パスワードをハッシュ形式で保存します。コンピューティングでは、ハッシュとは、固定数の桁を持つ文字列です。
アプリケーションは、パスワードをハッシュ形式で保存します。ユーザーがパスワードを入力してサインインすると、ハッシュ値に変換され、保存されているハッシュ値と比較されます。両方のハッシュ値が一致すると、サインインが成功します。
レインボーテーブルとは、パスワードのハッシュ値とその対応するプレーンテキスト文字を含む、事前に計算されたテーブルです。攻撃者は、これらのハッシュ値を使用してユーザーのパスワードをクラッキングします。
4] パスワードスプレー
パスワードスプレーとは、攻撃者が複数のアカウントで同じパスワードを使用するブルートフォース攻撃の一種です。言い換えれば、パスワードは一定で、ユーザー名は攻撃で異なります。たとえば、パスワード「admin@123」は、パスワードクラッキングのパスワードスプレー方法で多数のアカウントで使用できます。デフォルトのパスワードを持つアカウントは、通常、このタイプの攻撃によって侵害されます。
5] フィッシング
フィッシングとは、悪意のある行為者がユーザーのパスワードやその他の機密情報を盗むために使用する最も一般的な方法です。ハッカーはフィッシングを使用して、ユーザーのシステムにマルウェアをインストールし、リモートでシステムを制御することもできます。
フィッシング攻撃では、電子メールが最も一般的に使用されます。ただし、ハッカーがフィッシング攻撃で使用できる他の方法もあります。この攻撃では、ユーザーに電子メールが届きます。この電子メールは、Gmailからの電子メールメッセージなど、本物の電子メールのように見えます。電子メールには、ユーザーにすぐに対応を迫るメッセージが含まれています。たとえば、次のようなメッセージです。
あなたのアカウントは、最近ABCの場所でログインされました。あなたではなかった場合は、このリンクをクリックしてパスワードをリセットしてください。
ユーザーがリンクをクリックすると、Gmailに似せたページに移動します。そこで、古いパスワードと新しいパスワードの両方を記入する必要があります。パスワードを入力すると、悪意のある行為者がこの情報をキャプチャします。ハッカーは、この方法を使用して、ユーザーの銀行パスワード、クレジットカードパスワード、デビットカードパスワードなどを盗みます。
6] キーロガー攻撃
キーロガーソフトウェアは、すべてのキーストロークを記録します。ホストまたはターゲットコンピューターにキーロガーソフトウェアをインストールすると、パスワードクラッキングが容易になります。キーロガーは、サーバーを介してキーストロークの情報をハッカーに送信することもできます。ハッカーがキーストロークを含むログを取得すると、ユーザーのパスワードを簡単にクラッキングできます。ハッカーは通常、フィッシング攻撃を介して、ターゲットシステムにキーロガーソフトウェアをインストールします。キーロガー検出器は、ある程度の保護を提供します。
キーロガーは、ハードウェアの一部としても入手できます。USBフラッシュドライブのように見えます。悪意のある行為者は、このUSBフラッシュドライブをPCのUSBポートの1つに挿入して、すべてのキーストロークを記録できます。気付いた場合は、削除して攻撃を防ぐことができます。しかし、CPUケースの背面に挿入されている場合は、通常、気付かれません。
7] マルウェア攻撃
ハッカーは、コンピューターシステムにマルウェアをインストールして、システムを傷つけたり、制御を奪ったり、機密情報を盗んだりします。そのため、マルウェア攻撃もユーザーのパスワードをクラッキングしようとする悪意のある試みです。前述のとおり、ハードウェアとソフトウェアとして利用できるキーロガーについて説明しました。それとは別に、ハッカーはパスワードを盗むために他のさまざまなタイプのマルウェアを使用できます。
悪意のある画面キャプチャソフトウェアは、ユーザーのコンピューター画面のスクリーンショットを撮影してハッカーに送信します。悪意のあるソフトウェアの別の例は、ブラウザハイジャッカーです。
8] クレデンシャルスタッフィング
クレデンシャルスタッフィングは、データ侵害から資格情報を入手してユーザーのパスワードをクラッキングする方法です。データ侵害が発生すると、何百万ものユーザーのパスワードとユーザー名が盗まれます。これらのパスワードとユーザー名は、ダークウェブで引き続き利用できます。ハッカーはダークウェブからこれらの資格情報を購入し、クレデンシャルスタッフィング攻撃を実行するために使用します。
一部のユーザーは、すべての Web サイトで同じパスワードを使用します。この攻撃はブルートフォース攻撃の一種であり、このようなユーザーのすべてのアカウントのハッキングにつながる可能性があります。たとえば、プラットフォーム A でのユーザーのアカウントがハッキングされ、プラットフォーム B で同じパスワードを使用している場合、ハッカーはユーザー名がわかるとプラットフォーム B でのアカウントを簡単にハッキングできます。
9] ショルダーステージング
パスワードクラッキング攻撃を実行するのは、常にハッカーやサイバー犯罪者とは限りません。あなたの知り合いがあなたのパスワードを盗む可能性もあります。ショルダーステージング攻撃は、あなたがパスワードを入力しているときに、あなたが気付かないうちにあなたのキーボードを監視する単純なパスワードクラッキング攻撃です。特定の Web サイトでアカウントにログインすると、その人はあなたの資格情報を覚えていて、後で自分のデバイスであなたのアカウントにログインするために使用します。
これらは、攻撃者がパスワードクラッキング攻撃を試みるために使用する手法の一部です。それでは、これらの攻撃を防ぐ方法を見てみましょう。
パスワードクラッキング攻撃の防止
ここでは、パスワードクラッキング攻撃の被害者にならないために講じるべき予防策について説明します。
常に長く、クラッキングが難しいパスワードを作成します。長いパスワードは通常、クラッキングが困難です。大文字、小文字、特殊文字、数字など、可能なすべての組み合わせを使用してパスワードを作成します。無料のパスワードジェネレーターソフトウェアを使用して、強力なパスワードを作成することもできます。
2 段階認証を有効にします。サポートされているすべてのアカウントで 2 段階認証を有効にすることをお勧めします。携帯電話番号、別のメールアドレス、またはスマートフォンでのプロンプトを使用して、別のデバイスへのログインを許可できます。
信頼できないソースからのリンクはクリックしないでください。前述のとおり、ハッカーはフィッシング攻撃を介して人々を標的にし、資格情報を盗みます。したがって、信頼できないソースからのリンクをクリックすることを避ければ、フィッシング攻撃の被害者になることを防ぐことができます。
URL に注意してください。資格情報を入力する前に、常に Web サイトの URL を確認してください。ハッカーは、ユーザーのユーザー名とパスワードを盗むためにフィッシング Web サイトを作成します。これらの Web サイトは元の Web サイトを模倣していますが、ドメイン名は本物とは異なります。URL を見ることで、フィッシング Web サイトを識別し、元の Web サイトと区別することができます。
同じパスワードを絶対に使用しないでください。多くのユーザーは、すべてのアカウントで同じパスワードを使い続ける癖があります。これを行うと、アカウントのいずれかが侵害された場合に問題が発生する可能性があります。アカウントがすべて侵害されるリスクが高くなるためです。
優れたアンチウイルスをインストールします。アンチウイルスは、システムをウイルスやマルウェアから保護します。優れたアンチウイルスをシステムにインストールし、最新の状態に保つことで、最新の攻撃から身を守ることができます。
お役に立てば幸いです。
パスワードクラッキングの防御とは何ですか?
パスワードクラッキング攻撃に対する防御は、長く強力なパスワードを作成することです。パスワードには、アルファベット(小文字と大文字の両方)、特殊文字、数字、記号など、すべての文字を含めます。
なぜパスワードクラッキングと呼ばれるのですか?
パスワードクラッキングと呼ばれるのは、攻撃者が被害者のアカウントにサインインできるように、正しいパスワードを知るためにあらゆる方法を使用するためです。
コメントする