じしょ‐こうげき【辞書攻撃】
辞書攻撃
【英】dictionary attack
辞書攻撃とは、辞書に載っている単語を、延々と試すことでパスワードを解読する解析方法のことである。
本来、パスワードは、利用者自身とは全く関係のない無意味な文字列が望ましいとされているが、パスワードを忘れてしまうことを防ぐために、辞書に載っているような単語や、身の回りの名前や番号などを利用することが多い。
辞書攻撃は、このような単語を、次々と試して行くことにより、パスワードを見破るハイテク犯罪の手法の1つである、また、辞書攻撃では、辞書に載っている単語に数字を加えたものや、大文字と小文字を混ぜたもの、さらには、単語を逆から綴ったものなども、パスワードの候補として試す仕組みになっている。
辞書攻撃
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/04/16 08:07 UTC 版)
![]() | この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。(2009年6月) |
辞書攻撃(じしょこうげき、英: Dictionary attack)は、主にコンピュータセキュリティ上で用いられる用語で、クラッカーが特定のコンピュータに施されたパスワードを調べたり、スパム送信者が送信先のメールアドレスを決める際に用いる手法である。
概要
ブルートフォースアタック(総当たり攻撃A~Z・0~9まで総当たりでパスワードを打ち込みパスワードを破る)の場合は、膨大な試行回数がかかり、時間ロスが大きい。そこで、人間が発想するパスワードはワンパターンな事が多いために、良く使われるパスワードを「辞書」的に登録し攻撃に利用するのが辞書攻撃である。辞書に記載された単語を利用して特定文字列を推察する方法だが、以下のように幾つかの利用方法がある。
クラッカーの攻撃
辞書攻撃の辞書とは、文字通りの辞書(この場合、主に英語の)で、これに載っている単語を、パスワード等を知るために、片っ端から入力して行き、対象のコンピュータが、どのような反応を示すかを調べ、件のコンピュータに施されたパスワードを知る事ができる。なお辞書と言っても大抵はコンピュータプログラムで利用し易いよう、単語のみが羅列してあるファイルである。
この、一見すると自転車などに使うダイヤル錠を外すのに、0000 - 9999の全ての組み合わせを試すような非常に不毛な手法は、簡単なプログラムによって自動化するのも容易なため、ウェブページ改竄を目的とした技術程度の低いクラッカーが、サーバへ侵入する時などに良く試す方法の一つである。これは時間は確実に掛かるが、完全に失敗するという事が、比較的少ない。
ブルートフォースアタックでは、辞書そのものを使うよりも更に時間は掛かるが、より確実に結果がでる可能性が高い。同様の手法で、書庫ファイルに施されたパスワードを調べるソフトウェアも存在する。
迷惑メールの送信
スパムを携帯電話に向けて送信するスパム送信者の場合は、メールアドレスの“@”より前を、辞書にある単語や、文字の組み合わせを試すという方法で、メールアドレスのリストを作成し、これに向けて迷惑メールを送信する。
この方法では、ほとんどが「実在しないメールアドレス」になるとされており、実際に携帯電話会社のメールサーバが毎日扱う電子メールの内で8割以上は、これら辞書攻撃で作られた「宛先が存在しないため、配信されずに送信者に送り戻される電子メール」だとする調査もある。また、この宛先不明の迷惑メールと見られる電子メールは、NTT DoCoMoの2001年の発表では、一日8億通にのぼる。これらの宛先不明メールの処理だけで、メールサーバに莫大な負荷が掛かるため、正常に相手先に届いている(ユーザー同士がやり取りしているメールを含む)1.5億通の電子メール遅延の要因にもなっている。
技術的問題と道義的問題
この辞書攻撃は、他人のコンピュータのパスワードを探ったり、誰かに迷惑な広告を送り付けるという実際の被害もさる事ながら、大量に送りつけられた情報を処理するのに、余計な仕事が増える関係上、標的となったコンピュータが他に行っている処理を遅らせる結果にも繋がる。
比較的良く似た攻撃(サーバへの一種の嫌がらせ)には、サーバに大量のリクエストを送り付ける事で、サーバの負荷を増大させて、全般的な機能低下や動作不良を誘発させるDoS攻撃もあるが、この辞書攻撃の方が、実質的な被害を与える事を目的として、副次的に負荷を増やしている点でより悪質といえる。
この手法は、クラッカーやスパム送信者にとって大変なデメリットがある。それは有意な結果を導き出すために、膨大な時間をサーバ接続した状態で費やす必要があるため、サーバを管理する側から(逆探知や調査をする時間もたっぷり取れるために)相手を特定され易い。また、DoS攻撃はサーバ側に対する業務妨害に繋がるため、損害賠償を求められる可能性が高いからである。
関連項目
辞書攻撃
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/01/22 00:56 UTC 版)
詳細は「辞書攻撃」を参照 ユーザはしばしば脆弱なパスワードを選ぶものである。危険なパスワードのうちには、上で挙げたものの他、辞書に載っているような一単語、自分の苗字や名前、短すぎるパスワード(6 - 7文字以下は短すぎると通常考えられる)、ひねりが無さすぎてすぐ類推できてしまうパスワード(例えば母音と子音を入れ替えたもの)が挙げられる。40年にわたり繰り返し行なわれた調査によると、ユーザが選ぶパスワードの 40% は、辞書や場合によっては個人情報も使って実行される洗練されたクラッキングソフトの前ではたちまち分かってしまうということが明らかにされている。 フィッシングによって取得された MySpace のパスワードを調査したところ、それらの 3.8% は辞書に載っている一単語であり、他の 12% は一単語の末尾に数字を一個加えたものだった。その数字の 2/3 は "1" だった。 ユーザの中には、アカウント取得時に与えられた初期パスワードを変更せず放っておく者もいる。システム管理者の中には、OS やハードウェアの初期パスワードを変更せず放っておく者もいる。悪い意味で有名なのが「FieldService」というユーザ名と「Guest」というパスワードの組み合わせである。システム設定をする際にこれを変更しなかった場合、そのシステムの知識を持つ誰かがそのパスワードを悪用しているかもしれない。その種のメンテナンス用アカウントは、一般ユーザのアカウントよりも大きなアクセス権限を大概は持っている。初期パスワードの一覧はインターネット上で見つけることができる 。ゲイリー・マッキノンは「軍用コンピュータに対する、かつてないほど大規模なクラッキング」を行なったとして合衆国政府から告発されたが、彼は空のパスワードを探す Perl スクリプトを使うだけで軍用ネットワークに侵入できたと主張している。言い換えると、そのネットワークには全くパスワードを設定していないコンピュータがいくつもあったのである。 ターゲットの個人情報を基に、ありえそうなパスワードのパターンを生成するクラッキングソフトが存在する。
※この「辞書攻撃」の解説は、「パスワードクラック」の解説の一部です。
「辞書攻撃」を含む「パスワードクラック」の記事については、「パスワードクラック」の概要を参照ください。
辞書攻撃と同じ種類の言葉
- 辞書攻撃のページへのリンク