[情報セキュリティマネジメント試験]パスワードクラック[無料講座・例題付き!]
今回は情報セキュリティマネジメント試験で問われるパスワードクラックについて学習します。
パスワードクラック
パスワードが破られてしまうと不正に侵入され、重要な情報や金銭が奪取されてしまったり、システムやデータが破壊されたり、と被害は甚大です。
今回はパスワードを見破るといった典型的なサイバー攻撃を見ていきましょう。
類推攻撃
類推攻撃とは利用者の名前や誕生日、電話番号、出身地、利用者IDなど、関連のある内容をパスワードにしていると類推してログインを試みる攻撃です。
対策として自身に関連する内容をパスワードに設定しないことが挙げられます。
辞書攻撃
辞書攻撃とはパスワードに単語を使用する人が多いことを利用し、辞書の単語や良く利用される単語を用いてパスワードを推察する攻撃です。
辞書の例としては
- password
- admin
- login
- qwert(キーボードの並び)
等が挙げられます。
こちらも対策としては分かりやすいパスワードを設定しないことが挙げられます。
総当たり攻撃(ブルートフォース攻撃)
総当たり攻撃(ブルートフォース攻撃)はパスワードの可能な組み合わせをしらみつぶしにすべて試す攻撃方法です。
例えば暗証番号4桁の場合0000~9999まで最大1万回試せば突破が可能であり、人間であれば面倒な作業ですがコンピュータであれば一瞬で終わります。
対策としては一つのIDに対して何度か誤ったパスワードが施行された場合、アカウントをロックするロックアウトを設ける方法があります。
また、可能な限り長いパスワードを設定するのも有効な手段の一つです。
リバースブルートフォース攻撃
ブルートフォース攻撃の場合ロックアウトが対策になりますが、1つのパスワードを固定してさまざまなIDを試す方法をリバースブルートフォース攻撃と呼びます。
こちらはロックアウトが有効な対策になりません。
パスワードリスト攻撃
ユーザの動向として、利用者IDやパスワードを使いまわすことが多いため、あるところからIDやパスワードが流出したら芋づる式にさまざまなサイトやシステムに不正ログインされる攻撃がパスワードリスト攻撃です。
こちらはWebサイトやシステムに脆弱性がない場合でも攻撃が成功してしまいます。
対策としてはパスワードを使いまわさないことが挙げられます。
レインボー攻撃
レインボー攻撃は予想したパスワードを基に求められたハッシュ値と利用者のパスワードのハッシュ値を照合し、パスワードを見破る方法です。
パスワードは通常であれば平文ではなくハッシュ値に一度変換され、そのハッシュ値が保存されますが、予想したパスワードのハッシュ値の一覧表(レインボーテーブル)と、利用者のパスワードのハッシュ値を比較しながらパスワードを特定します。
パスワードクラック・例題
実際に例題を解いて問題に慣れていきましょう。
問題
問1
暗号解読の手法のうち,ブルートフォース攻撃はどれか。(H.30/春)
ア 与えられた1組の平文と暗号文に対し,総当たりで鍵を割り出す。
イ 暗号化関数の統計的な偏りを線形関数によって近似して解読する。
ウ 暗号化装置の動作を電磁波から解析することによって解読する。
エ 異なる二つの平文とそれぞれの暗号文の差分を観測して鍵を割り出す。
問2
リバースブルートフォース攻撃に該当するものはどれか。(R.1/秋)
ア 攻撃者が何らかの方法で事前に入手した利用者IDとパスワードの組みのリストを使用して,ログインを試行する。
イ パスワードを一つ選び,利用者IDとして次々に文字列を用意して総当たりにログインを試行する。
ウ 利用者ID,及びその利用者IDと同一の文字列であるパスワードの組みを次々に生成してログインを試行する。
エ 利用者IDを一つ選び,パスワードとして次々に文字列を用意して総当たりにログインを試行する。
問3
特定のサービスやシステムから流出した認証情報を攻撃者が用いて,認証情報を複数のサービスやシステムで使い回している利用者のアカウントへのログインを試みる攻撃はどれか。(H.31/春)
ア パスワードリスト攻撃
イ ブルートフォース攻撃
ウ リバースブルートフォース攻撃
エ レインボー攻撃
解説(クリックで展開)
パスワードクラック・まとめ
今回はパスワードクラックについて学習しました。
攻撃の種類と対策の両方をセットで押さえておきましょう。
次回は不正アクセスについて学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
