認証ベースの攻撃についての説明

  • 4 分

認証の攻撃は、誰かが他者の資格情報を盗もうとして行います。 その後、その人物になりすますことができます。 このような種類の攻撃の目的は正当なユーザーになりすますことであるため、ID 攻撃と呼ばれることもあります。 一般的な攻撃には次が含まれますが、これらだけに限定されません。

  • ブルート フォース攻撃
  • 辞書攻撃
  • 資格情報詰め込み攻撃
  • キーロギング
  • ソーシャル エンジニアリング

ブルート フォース攻撃

ブルート フォース攻撃では、犯罪者は単にさまざまなユーザー名とパスワードの組み合わせを試してアクセスを試みます。 通常、攻撃者は何百万ものユーザー名とパスワードの組み合わせを使用してこのプロセスを自動化するツールを持っています。 単一要素認証を使用した単純なパスワードは、ブルート フォース攻撃に対して脆弱です。

辞書攻撃

辞書攻撃はブルート フォース攻撃の一種で、よく使用されるワードの辞書が適用されます。 辞書攻撃を防ぐには、パスワードに記号、数字、複数のワードの組み合わせを使用することが重要です。

資格情報詰め込み攻撃

資格情報詰め込み攻撃は、多くのユーザーが多数のサイト間で同じユーザー名とパスワードを使用しているという事実を利用する攻撃方法です。 攻撃者は、(通常は 1 つのサイトでのデータ侵害後に入手して) 盗んだ資格情報を使用して、他の領域へのアクセスを試みます。 通常、攻撃者はソフトウェア ツールを使用してこのプロセスを自動化します。 資格情報詰め込み攻撃を防ぐには、パスワードを再利用せず、パスワードを定期的に、特にセキュリティ違反後に変更することが重要です。

キーロギング

キーロギングには、キーストロークをログする悪意のあるソフトウェアが関係しています。 攻撃者は、キー ロガーを使用して、ユーザー名とパスワードの組み合わせをログする (盗む) ことができます。続いてこの組み合わせを使用して、資格情報詰め込み攻撃を行うことができます。 キーロギングは、インターネット カフェや、共有コンピューターを使用してアクセスを行う場所での一般的な攻撃です。 キーロギングを防ぐには、信頼されていないソフトウェアをインストールせず、評判の良いウイルス スキャン ソフトウェアを使用してください。

キーロギングはコンピューターだけに限定されません。 不正ユーザーが、ATM のカード リーダーとキーパッドに箱つまり装置を取り付けるとします。 カードを挿入すると、まずその不正ユーザーのカード リーダーを通過し、カードの詳細情報が取り込まれてから、ATM のカード リーダーに読み込まれます。 さらに、不正ユーザーのキーパッドを使用して PIN をキー入力すると、その PIN も取得されてしまいます。

ソーシャル エンジニアリング

ソーシャル エンジニアリングには、人に情報を漏洩させたり、攻撃を可能にする操作を行わせたりしようとする試みが関係します。

ほとんどの認証攻撃には、コンピューターの悪用や、多くの資格情報の組み合わせを試すことが関係しています。 ソーシャル エンジニアリング攻撃には、人の弱みを悪用するという違いがあります。 攻撃者は正当なユーザーの信頼を得ようとします。 攻撃者は、情報を漏洩させるように、または損害を与えたり情報を盗んだりするのを可能にする操作を行うようにユーザーを誘導します。

次のような多数のソーシャル エンジニアリング手法が認証の盗難に使用されることがあります。

  • フィッシング。攻撃者は、ユーザーに認証資格情報を漏洩させることを目的として、一見正当な電子メールを送信します。 たとえば、ユーザーの取引銀行からの電子メールのように見える場合があります。 銀行のサインイン ページのように見えるリンクが開きますが、実際には偽サイトです。 ユーザーがこの偽のサイトにログインすると、攻撃者が資格情報を利用できるようになります。 フィッシングには、特定の組織、職業、個人を対象とするスピア フィッシングなどの複数の変化形があります。
  • プリテキスティング。攻撃者が犠牲者の信頼を得て、セキュリティで保護された情報を漏らすよう働きかける方法です。 その後、この情報を使用して ID を盗み取ることができます。 たとえば、ハッカーが銀行からの電話を装い、本人確認のためにパスワードを尋ねる場合があります。 別の方法では、ソーシャル メディアを使用します。 アンケートやクイズの記入を求め、一見無作為で無害な質問で個人情報を漏らさせようとしたり、初めて飼ったペットの名前や生まれた場所の名前を使用して架空のポップスターのバンドの名前を作るといった、楽しそうに思える質問をされる場合があります。
  • 餌撒き。犯罪者が偽の報酬や賞を用意し、犠牲者にセキュリティで保護された情報を漏らすよう勧める攻撃の方式です。

その他の認証ベースの攻撃方法

上記のものは、認証ベースの攻撃のほんの数例です。 新しい種類の攻撃が行われる可能性は常にありますが、上記のすべての攻撃は、教育することと多要素認証を使用することで防ぐことができます。