河内・水簾洞

パスワードを盗む手法

編集者

1.パスワードスプレー攻撃

 総当たり攻撃の一種(1パスワードvs複数アカウント)
   複数のアカウントに対して同じパスワードの使用を試みる

 多くのユーザーがシンプルで推測しやすいパスワードを使用しているため
   パスワードスプレー攻撃は往々にして効果をもたらす

 パスワードを3回間違えたらロックされてしまうようなサービスであっても、
   アカウントごとに1回しか試していないため、ロックは回避される

 管理者が新しいユーザーに対してデフォルトのパスワードを設定している場合
   シングルサインオンやクラウドベースのプラットフォームが狙われる

 対応策として複雑で推測され難いパスワードを利用する

2.パスワードリスト攻撃

 総当たり攻撃の一種
   不正に入手した大量のIDとパスワードの組み合わせを利用する

   クレデンシャルスタッフイング(Credential Stuffing)攻撃とも呼ばれ
     個人情報の漏洩やダークWebからの情報を入手する

     複数のサービスで同じIDとパスワードを使い回しすることが多いので
     入手した組み合わせを使って、漏えいを起こしたサービス以外を狙う

 対応策としてサービスごとに異なるパスワードを用意する

3.フィッシング攻撃

 比較的信用のある組織を装った偽のメールを不特定多数に送り付け、
   偽のWebサイトを用意し、このサイトに誘導する

   ユーザー自身にパスワードを入力させ、パスワードを盗み出す

 対応策として安易に勧められたリンクをクリックしない

4.マルウェアの利用

 ユーザーPCにマルウェアをインストールし
   キー入力を記録するキーロガーなどのツールを使って、
   ユーザーが入力したパスワードを記録する

   キーロガーが動いている限り、次から次にとパスワードが盗まれる

 対応策としてマルウェアを検知するサービスを利用する

5.ブルートフォース攻撃

 総当たり攻撃の一種(1アカウントvs複数パスワード)
   同じアカウントに複数のパスワードの使用を試みる

   自動化されたツールを使用して、
     利用可能な全てのパスワードの組み合わせを試みる

 対応策として複雑で再現性のないパスワードを利用する

6.脆弱性の利用

 Webサイトの脆弱性を狙った攻撃
   事前に脆弱なWebサイトに悪意のあるJavaScriptコードを埋め込み
     アクセスされるとコードが自動実行され、
     ユーザーの入力情報を盗み出し、攻撃者のサーバに送信される

   他には
     正規のWebページに似せた偽のWebページを作成する
     ユーザーのセッションCookieを盗み出す
     マルウェアを忍び込ませる

 対応策としてセキュリティ対策が施されたWebサイトを利用する

7.公共のWi-Fiネットワークの利用

 多様な攻撃手法が用いられる
   中間者攻撃
     通信を傍受し、暗号化されていないデータを盗み取る

     公共のWi-Fiでは通信が暗号化されていないことがあり、
       入力したパスワードが盗まれてしまう

   パケットスニッフィング
     ソフトウェアを使用して、Wi-Fiを伝わるデータパケットを捕捉する
       「Wireshark」、「tcpdump」、「Snort」が使われる
     データパケットを分析することでパスワードを抽出できる

   DNSスプーフィング
     ユーザーのWebブラウザから送られてきたDNS要求を改ざんし、
       偽のWebサイトに自動的に接続しパスワードを入力させ盗む

   偽のWi-Fi接続
     正規のアクセスポイント(AP)だと誤認しやすい偽のAPを設置する
       偽のAPに接続すると全ての情報が盗まれる

 対応策として暗号化された公共のWi-Fiを使用する

8.個人情報の大量窃取

 企業のデータベースなどから大量の個人情報を窃取する
   個人のパスワードが盗み出される可能性がある

 対応策として盗まれたと分かった時点でパスワードを変更する

9.スピアフィッシング攻撃

 特定の個人を狙った総当たり攻撃の一種
   狙った人物に関連する情報を利用して、
     よりだまされやすい偽のメッセージをカスタマイズする

   取引先や上司、個人が属しているグループや趣味に関連する知人を装う
     効率的にパスワードを盗み出す

 対応策として先ず不自然なメールは疑って掛かること

10.水飲み場攻撃

 狙った相手が訪れる可能性の高いWebサイトをあらかじめ改ざんし、
   サイトにアクセスするとマルウェアを組み込み、パスワードを盗み出す

 対応策として利用するサイトのセキュリティーレベルをチエックする

11.ソーシャルエンジニアリングの利用

 狙った相手に直接パスワードを尋ねる
   システム部門を装ってパスワードを聞き出す

   心理的なトリックを利用し、ターゲットを誤った行動に導く
     ITを使わず、電話や音声メッセージを使う(ヴィッシング)こともある

 対応策として不自然な電話等は相手にしない

12.物理的な手法

 狙った相手に対して物理的に接近し、肩越しにパスワードを盗む
   PCの画面を開いたまま、短時間PCから離れた隙を狙うこともある

 対応策としてスクリーンセーバー等を活用する

13.SIMスワッピング

 狙った相手の個人情報を収集し、携帯電話会社をだます
   相手の電話番号をSIMカードに移し
   狙った相手のアカウントに不正アクセスできるようになる

 対応策として