- 1.パスワードの不正取得方法(辞書攻撃、スニッフィング、ブルートフォース攻撃)
- 2.パスワードクラックへの対策
- 3.リバースブルートフォース攻撃
- 4.ロギングツール(キーロガー)
- 5.IPSでパスワードクラックは防げるか?
- 6.パスワードリスト攻撃
- 7.その他の攻撃
1.パスワードの不正取得方法(辞書攻撃、スニッフィング、ブルートフォース攻撃)
パスワードですが、最近は6文字以上などの制限があるなど、
短いパスワードが設定できなくなりました。
そうすると、パターンが多いので、解読は無理ではないのでしょうか?
確かに、やみくもに攻撃するブルートフォース攻撃では厳しいかもしれない。
でも、方法はそれだけではない。
以下がその例である。
①ブルートフォース攻撃
②辞書攻撃
③スニッフィング
順に見ていこう
①ブルートフォース攻撃
過去問では、「「文字を組み合わせてあらゆるパスワードでログインを何度も試みる(H19SV 午前問題 問44より引用)」攻撃」と述べられている。
違う過去問では、「共通鍵暗号の鍵を見つけ出す,ブルートフォース攻撃に該当するもの」として、「1組の平文と暗号文が与えられたとき,全ての鍵候補を一つずつ試して鍵を見つけ出す(H25SC秋午前2問9)」とある。
アニメのポパイに登場するブルートをイメージすると分かりやすい。ブルート(Brute)とは「猛獣」の意味し、フォース(Force)は「力」を意味するので、「猛獣による力による攻撃」が直訳である。
力によるという直訳のとおり英数記号の全ての組み合わせを順に試してパスワードを解読する。
②辞書攻撃
一般的にユーザが付けるパスワードは「0Tf!2_M5」のように複雑なものより、「tokyo2009」のように英単語を使ったものが多い。多くの人は辞書にある文字などを使っている。そうしないと覚えられないからだ。辞書攻撃を使うと、かなり高速に解読できる。
③スニッフィング
sniffとは「臭いをかぎつける」という意味である。ネットワークアナライザのSnifferという言葉が馴染み深いかもしれない。
SniffingはSnifferなどのネットワークキャプチャソフトを利用して、ネットワークを流れるデータを盗聴する。
H31年春AP午後問1には、パスワードに対する主な攻撃が記載されている。
cはブルートフォース攻撃で、dはパスワードリスト攻撃である。類推攻撃は、本人の名前と生年月日からPWを類推するような例である。
④リバースブルートフォース攻撃
上記の表の項番2にあるように、「パスワードを固定して、IDに可能性のある全ての文字を組み合わせてログインを試行する攻撃」。このあと詳しく記載します。
⑤パスワードスプレー攻撃
「攻撃の時刻と攻撃元IPアドレスとを変え,かつ,アカウントロックを回避しながらよく用いられるパスワードを複数の利用者IDに同時に試し,ログインを試行する(R4秋SC午前2問6)」攻撃です。
リバースブルートフォース攻撃とどう違うのですか?
リバースブルートフォース攻撃の一種ですが、もっと効率的です。漏えいしたアカウントを活用し、パスワードも、よくあるパスワードや漏えいしたものなどのリストを使います。low-and-slow攻撃とも呼ばれ、少し時間をかけて行います。リバースブルートフォース攻撃をする攻撃者であっても、リストを使ったり、アカウントロックを回避しながらゆっくり実施したりするので、違いをそれほど厳密に意識する必要はないと思います。現実的に実施される攻撃に対して、名前を付けた感じだと思っています。
⑥パスワードリスト攻撃
項番5の攻撃です。後述します。
2.パスワードクラックへの対策
パスワードクラックへの対策ですか?
そんなの、長いパスワードにすればいいだけでしょ。
確かにそれも一つである。H18年春SV午後1問3には、PIN(パスワードと考えればよい)の設定に関するガイドラインがある。3が正しく、成子ちゃんが言った対策である。2は、辞書攻撃に対する対策である。
| PINの設定に関するガイドライン(H18年春SV午後1問3) |
|---|
| 1. アルファベットの大文字と小文字,数字,記号をランダムに並べ,当該本人情報から推測できるような情報を含めない。 2. 一般に使用される単語,及びテレビ,ラジオなどのメディアで使用されている流行語や時事用語などは使用しない。 3. 8文字以上の文字列とする。 |
以下の情報処理安全確保支援士試験の問題も見てみよう。スニッフィングも含めた対策が問われている。
| 過去問(H23春SC午前2問8参考) |
|---|
| 問8 サーバヘのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策を組合せよ。 ①辞書攻撃 ②スニッフィング ③ブルートフォース攻撃 ア パスワードを平文で送信しない。 イ ログインの試行回数に制限を設ける。 ウ ランダムな値でパスワードを設定する。 |
↓
↓
↓
↓
↓
正解は簡単だっただろう。
①は、辞書にあるような文字を使わず、ランダムなパスワードにするという意味で、ウ
②は、暗号化すれば、盗聴されないということで、ア
③は、総当たり攻撃をされたら、アカウントロックをするようにするということで、イ
3.リバースブルートフォース攻撃
ブルートフォース攻撃の「逆(リバース)」である。
何が逆なんですか?
普通のブルートフォース攻撃は、ログインIDを固定して、パスワードを順に変化させる。
一方のリバースブルートフォース攻撃は、変化させるのが逆である。つまり、パスワードを固定し、利用者IDを変化させるのだ。
これだと、利用者IDは毎回違うので、アカウントロックで防ぐことはできない。
情報処理安全確保支援士の過去問(H27年SC春午後1問3)では、リバースブルートフォース攻撃に関する出題があった。この問題は2014年に発生したJALやANAの不正ログイン事件をモデルにしていると思われる。JALの場合は数字6桁、ANAの場合は数字4桁の暗証番号での認証だった。Zサイトと同じようにパスワードへの攻撃を受けて、マイレージがAmazonギフト券などに交換される被害が発生した。
以下、過去問の該当部分。
| 過去問(H27年SC春午後1問3) |
|---|
| A主任:Y社の調査によると,パスワードを固定した上で,約70万個の文字列を次々に利用者IDとして入力し,ログインを試行するという攻撃があったとのことでした。試行された利用者IDのうち,7万個については,利用者IDとして実在していました。また,実際に560件の利用者IDについては,不正ログインまで成功しており,さらに,130件については,ポイントが不正に交換されていました。 |
4.ロギングツール(キーロガー)
先日、社内システムを使いたいからって私のパソコンを使わしてくれって先輩にいわれたので、貸しました。その間トイレに行ってたので、私のメールとか見られちゃったかな。恥ずかしいメールもあったから…。
メールを見られるくらいなら恥ずかしいだけでしょ。ロギングツールでも仕掛けられたら大変ですよ。過去にはインターネットカフェで仕掛けられ、ネットバンキングのIDパスワードが盗まれて事件になったこともある。
ふとしたスキをみてロギングツールをしかけられると、入力した文字がすべて記録される。しかも勝手にメールでその情報を送信されてしまう。
以下に、キーロガーに関する問題がある。
| 過去問(H23年春IP問75) |
|---|
| 問75 情報セキュリティの脅威であるキーロガーの説明として,適切なものはどれか。 ア PC利用者の背後からキーボード入力とディスプレイを見ることで情報を盗み出す。 イ キーボード入力を記録する仕組みを利用者のPCで動作させ,この記録を入手する。 ウ パスワードとして利用されそうな単語を網羅した辞書データを用いて,パスワードを解析する。 エ 無線LANの電波を検知できるPCを持って街中を移動し,不正に利用が可能なアクセスポイントを見つけ出す。 |
↓
↓
↓
↓
↓
アは、ソーシャルエンジニアリング または、ショルダーハッキング。
イがキーロガーである。
ウは、辞書攻撃
エはwar driving
である。
5.IPSでパスワードクラックは防げるか?
辞書攻撃、ブルートフォースアタック対策などの攻撃ですが、
IPSでも防御できますか?
基本的にはできない。
複雑なパスワードを設定したり、何度か入力ミスをしたらアカウントロックをすることが対策の基本である。
話は変わるが、以下の報告も興味深いものがある。
◇不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
http://www.meti.go.jp/press/2011/03/20120315004/20120315004.pdf
不正アクセスの動機は?(H22)
①不正に金を得るため
②嫌がらせや仕返しのため
③好奇心を満たすため
6.パスワードリスト攻撃
過去問では、パスワードリスト攻撃に関して、「どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて,他のWebサイトに対してログインを試行する(H27AP春午前問39)」とある。
パスワードを使いまわす人が多い。パスワードがたくさんあるし、簡単なパスワードは許してくれず、8文字以上で英数記号を入れろと言われると、さすがにつらい。
もしあるシステムのID/パスワードが流出すると、それを使って、他のシステムにログインするのである。
これはとても厄介だ。というのも、1回で成功してしまうこともあるからだ。1回で成功するのであれば、正規ユーザとしか、システムでは判断ができない。
IPAの以下の資料が詳しい。
(旧リンク)https://www.ipa.go.jp/security/txt/2013/08outline.html
以下は、パスワードリスト攻撃を受けた情報をまとめたサイトである。
多くの場合、アカウントロックがされていなかったり、同一IPアドレスからの攻撃を検知していないなど、対策が不十分だったようである。
https://jamhelper.com/caseoflistattack/
7.その他の攻撃
(1)Pass the Hash攻撃
ユーザアカウントのパスワードハッシュを,サーバのメモリなどから不正に入手し,正規のユーザになりすまして攻撃します。WindowsのNTLM認証を用いている場合に攻撃が成功する場合があります。(ただ、今のWindowsではNTLMではなく安全なKerberos認証が使われます)
R5春支援士午前2では「パスワードのハッシュ値だけでログインできる仕組みを悪用してログインする。」と説明されていました。
