攻撃と脅威
総当たり攻撃
別称: 全数探索
定義
パスワード、PIN、鍵などの候補値を片端から試し、正しい値を割り出す攻撃。
総当たり(ブルートフォース)攻撃は、候補空間を試行で潰し込む手法です。オンライン版は認証エンドポイントに大量の推測を送り、オフライン版は窃取済みハッシュを GPU、FPGA、レンタルクラウドで攻撃します。実現性は鍵空間のサイズ、パスワードハッシュアルゴリズム(Argon2、bcrypt、scrypt、PBKDF2)の作業係数、レートリミットやアカウントロックなどの運用統制で決まります。対策は、強くユニークな資格情報、ソルト付きの memory-hard ハッシュ、MFA、指数バックオフ、IP・端末スロットリング、WAF、認証ログの異常検知です。暗号鍵は十分な長さ(対称 256 bit、RSA 3072 bit や同等の ECC など)が必要です。
例
- Hashcat が漏えいした NTLM ハッシュを 1 秒数十億回の速度で解読する。
- 公開された RDP サーバに対し、攻撃者が一般的な管理者パスワードを総当たりで試行する。
関連用語
辞書攻撃
あらかじめ用意した一般語彙・漏えいパスワード・ルールに基づく派生形を候補とし、対象に試行する標的型パスワード推測攻撃。
パスワードスプレー攻撃
少数のよく使われるパスワードを多数のアカウントに対して低頻度で試し、ロックアウトやレート制限を回避する攻撃。
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。
レインボーテーブル攻撃
ハッシュ関数と還元関数を交互に並べたチェーンを圧縮テーブルに保存し、ソルトなしハッシュを総当たりよりはるかに速く逆引きする事前計算攻撃。
Password
Password — definition coming soon.
認証の不備
認証やセッション管理の欠陥により、攻撃者が正規ユーザーになりすましたり、アカウントを乗っ取れたりする脆弱性カテゴリ。