攻撃と脅威
辞書攻撃
別称: ワードリスト攻撃
定義
あらかじめ用意した一般語彙・漏えいパスワード・ルールに基づく派生形を候補とし、対象に試行する標的型パスワード推測攻撃。
辞書攻撃は、もっともらしい候補のみを試すことで総当たりの探索空間を絞り込みます。候補には一般的な単語、人名、日付、漏えいパスワード、ルールによる変形(「Password」→「P@ssw0rd!2025」)などが含まれます。最新のクラッキングツール(Hashcat、John the Ripper)は辞書、マスク、ハイブリッドルール、マルコフモデルを重ね合わせ、捕獲したハッシュを純粋な総当たりより桁違いに速く解読できます。対策は、Argon2id、bcrypt、scrypt、繰り返し回数を増やした PBKDF2 などソルト付きの memory-hard ハッシュによるパスワード保存、既知・漏えい済みパスワードの拒否、長いパスフレーズの推奨、そして MFA の徹底です。
例
- rockyou.txt と Hashcat のルールファイルで漏えいデータベースを解読する。
- 企業テーマのワードリストを捕獲した NTLM ハッシュにぶつける。
関連用語
総当たり攻撃
パスワード、PIN、鍵などの候補値を片端から試し、正しい値を割り出す攻撃。
レインボーテーブル攻撃
ハッシュ関数と還元関数を交互に並べたチェーンを圧縮テーブルに保存し、ソルトなしハッシュを総当たりよりはるかに速く逆引きする事前計算攻撃。
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。
パスワードスプレー攻撃
少数のよく使われるパスワードを多数のアカウントに対して低頻度で試し、ロックアウトやレート制限を回避する攻撃。
Password
Password — definition coming soon.
Argon2
2015 年の Password Hashing Competition で優勝し、RFC 9106 に標準化された、メモリ消費型の最新パスワードハッシュ関数兼 KDF。