辞書攻撃とは?
仕組みや被害事例、効果的な対策を解説

FOR BUSINESS

課題解決のためのノウハウ

辞書攻撃とは、パスワードによく使われる単語や数字のリスト(辞書)を用いて、アカウントへの不正ログインを試みるサイバー攻撃です。「password」や「123456」といった単純なパスワードが特に狙われやすく、個人情報の漏洩やアカウント乗っ取りなどの深刻な被害をもたらします。本記事では、辞書攻撃の基本的な仕組みから具体的な被害事例、そして個人・企業それぞれが実践すべき効果的な対策までを分かりやすく解説します。

辞書攻撃とは?基本的な仕組みと攻撃手法

企業のデジタル化が進むなか、パスワード認証を突破する攻撃手法への理解と対策がますます重要になっています。辞書攻撃の定義から具体的な攻撃手口まで、基礎知識を解説します。

辞書攻撃の定義

辞書攻撃(Dictionary Attack:ディクショナリーアタック)とは、一般的な単語や人名、よく使われるパスワードなどをリスト化した「辞書」を用いて、特定のアカウントへのログイン認証を突破しようとするサイバー攻撃です。ブルートフォース攻撃の一種で、ランダムな文字列をすべて試す方法に比べて効率的にパスワードを推測できます。

攻撃者は数万から数十万語の単語リストを準備し、攻撃自動化ツールを使って高速で試行を繰り返します。ユーザーが「覚えやすいパスワードを設定したい」という心理を悪用した攻撃手法で、特に単純なパスワードを使用している場合、わずか数分で認証が突破されるリスクがあります。

辞書攻撃の具体的な実行手順

辞書攻撃は以下の3つのステップで実行されます。

  • ステップ1:標的の選定と辞書ファイルの準備

    • 攻撃者は標的となるシステムやアカウントを特定し、一般的な単語や頻出パスワードを集めた辞書ファイルを用意します。この辞書ファイルには、数万から数十万語の単語リストが含まれています。

  • ステップ2:攻撃自動化ツールによる試行

    • 「Hydra」や「John the Ripper」などの攻撃ツールを使用し、辞書の文字列を順番に自動的に試行します。これらのツールは専門知識がなくても使用できるため、攻撃の敷居が低くなっています。

  • ステップ3:認証突破とアクセス

    • 辞書に含まれるパスワードがヒットすると認証が成功し、攻撃者は標的のアカウントへ不正にアクセスできるようになります。単純なパスワードほど短時間で突破されるリスクが高まります。

辞書攻撃で狙われやすいパスワードの特徴と具体例

辞書攻撃で特に狙われやすいパスワードには明確な傾向があります。このようなパスワードは、セキュリティの観点から極めて脆弱であり、早急な変更が必要です。

一般的な単語

「password」「welcome」など辞書に載っている単語です。英単語をそのまま使用したパスワードは最も危険性が高く、辞書ファイルの上位に含まれているため攻撃者にとって格好のターゲットとなっています。

単純な数字列

「123456」「111111」など規則性のある数字の羅列です。セキュリティ企業SplashDataの調査によると、「123456」は毎年最も使用されるパスワードの上位にランクインしており、辞書攻撃の格好の標的となっています。

よく使われるフレーズ

「iloveyou」「letmein」など英語の定型句です。覚えやすさを優先したフレーズ型のパスワードも、辞書ファイルには網羅的に登録されています。

個人情報関連

誕生日、ペットの名前、地名など推測されやすい情報です。SNSなどで公開している情報から類推されることもあり、ソーシャルエンジニアリングと組み合わせた攻撃に使われます。

単語と数字の組み合わせ

「password123」など単語の末尾に数字を付けたものです。セキュリティ要件で数字を含める必要がある場合、このようなパターンを使用するユーザーが多く、辞書攻撃の対象となります。

サイバー攻撃全般について詳しく知りたい方は、「サイバー攻撃を受けるとどうなる?よくある被害事例と企業の対策を解説」も併せてご覧ください。

関連記事

サイバー攻撃を受けるとどうなる?
よくある被害事例と企業の対策を解説

辞書攻撃と類似する攻撃手法との違い

パスワード認証を突破する攻撃手法は複数存在します。それぞれの特徴と違いを理解することで、より適切なセキュリティ対策を選択できます。

ブルートフォース攻撃との違いと効率性の比較

ブルートフォース攻撃(総当たり攻撃)は、パスワードとして考えられるすべての文字列の組み合わせを機械的に試行する手法です。例えば10文字のパスワードで大文字・小文字・数字・記号を使用した場合、約3,760兆通りの組み合わせを試す必要があり、現代のコンピュータでも解読に膨大な時間を要します。

一方、辞書攻撃は意味のある単語に絞って試行するため、数万から数十万語のリストで効率的に狙えます。試行回数が大幅に少なくなるため、短時間で突破できる可能性が高くなります。ただし、完全にランダムな文字列で構成されたパスワードには効果が低いという特徴もあります。

パスワードリスト攻撃との違いと情報源の相違

パスワードリスト攻撃は、過去に他のWebサービスから漏洩した実際のID・パスワードの組み合わせを用いて、別のサービスへのログインを試みる手法です。辞書攻撃が一般的な単語リストを使用するのに対し、パスワードリスト攻撃は実際に使われていた認証情報を利用するため、パスワードの使い回しをしているユーザーに対して極めて高い成功率を示します。

2023年には大規模なデータ漏洩事件が複数発生しており、数億件規模の認証情報がダークウェブで流通しています。このため、複数のサービスで同一のパスワードを使用することは非常に危険です。

リバースブルートフォース攻撃との違いとアカウントロック回避

リバースブルートフォース攻撃は、通常の辞書攻撃とは逆の発想で、パスワードを「password」などに固定して異なるIDで次々とログインを試みる手法です。

辞書攻撃では特定のIDに対して複数のパスワードを試すため、一定回数の失敗でアカウントがロックされるセキュリティ機能によって攻撃が阻止されます。しかしリバースブルートフォース攻撃では、IDを変えながら試行するため、個別のアカウントロック機能を回避できる特徴があります。多くのユーザーが同じような単純なパスワードを設定している事実を悪用した攻撃手法です。

類似の攻撃手法として不正アクセスの被害事例や対策について詳しく知りたい方は、「不正アクセスとは?実際の被害事例を用いて対策を詳しく解説」も併せてご覧ください。

関連記事

不正アクセスとは?
実際の被害事例を用いて対策を詳しく解説

辞書攻撃による被害事例と効果的な対策

辞書攻撃による被害は個人から大企業まで幅広く及んでいます。実際の事例を知り、それぞれの立場でできる具体的な対策を実践していきましょう。

辞書攻撃による主な被害と実際の事例

個人レベルでは、SNSやメールアカウントの乗っ取り、個人情報の漏洩、クレジットカード情報の不正利用などが発生します。アカウントが乗っ取られると、そこから友人や知人へのなりすまし被害が拡大するケースもあります。

企業レベルではさらに深刻です。2022年10月、ある総合医療センターがランサムウェア攻撃の被害を受け、電子カルテが暗号化されました。侵入口は給食委託事業者のVPN装置で、辞書攻撃などによる認証突破が原因と報告されています。この攻撃により、電子カルテが使用不可となり、外来診療が一時停止しました。紙カルテでの運用を経て、外来診療の全面再開には約3カ月を要する事態となりました。

ランサムウェア攻撃の感染経路や対策について詳しく知りたい方は、「ランサムウェアの感染経路とは?被害に遭わないために知っておきたい対策のポイント」も併せてご覧ください。

関連記事

ランサムウェアの感染経路とは?
被害に遭わないために知っておきたい対策のポイント

個人ユーザーができる効果的な対策

個人レベルでの対策として、強力なパスワードの設定が基本となります。12文字から15文字以上のランダムな文字列を使用し、大文字・小文字・数字・記号を組み合わせることで、辞書攻撃の成功率を大幅に低下させられます。パスワード管理ツールを活用すれば、サービスごとに異なる複雑なパスワードを自動生成し、安全に保管できます。

多要素認証(MFA)の導入は極めて効果的な対策です。パスワードに加えてSMS認証コードや指紋認証など複数の要素で本人確認を行うことで、仮にパスワードが突破されても不正ログインを最終段階で防げます。パスワードの使い回しを避け、サービスごとに異なるパスワードを設定することも必須の対策です。

企業・サービス提供者が実施すべきセキュリティ対策

企業側では多層的な対策が求められます。

ログイン試行回数の制限

3回から5回の失敗でアカウントを一時的にロックし、一定期間(例えば15~30分)後に自動解除する仕組みを導入します。これにより、辞書攻撃による連続的な試行を物理的に制限できます。

CAPTCHA導入

自動化ツールによる機械的な連続アクセスを検知・ブロックする技術です。画像認証や「私はロボットではありません」チェックボックスにより、人間による操作であることを確認します。

IPアドレス制限

異常なリクエストを検知して接続を拒否する方法で、短時間に大量のログイン試行が行われるIPアドレスを一時的にブロックします。社内システムへのアクセスを許可されたIPアドレスに限定することで、外部からの辞書攻撃を根本的に防げます。

脆弱性診断

定期的なセキュリティチェックでシステムの弱点を発見・改善する取り組みです。外部の専門機関によるペネトレーションテストを実施し、実際の攻撃者と同様の手法でシステムの堅牢性を検証します。

多要素認証の提供

ユーザー側でも設定できるように多要素認証機能を実装し、積極的に活用することを推奨します。特に管理者アカウントや機密情報にアクセスできるアカウントでは、多要素認証を必須とすることが望ましいでしょう。

企業が実施すべきセキュリティ対策の基本について詳しく知りたい方は、「企業に必要なセキュリティ対策の基本と実践のポイント」も併せてご覧ください。

関連記事

企業に必要なセキュリティ対策の基本と実践のポイント

辞書攻撃から守る強固なセキュリティ体制の構築を

辞書攻撃は、よく使われる単語や数字のリストを用いてパスワードを推測する効率的なサイバー攻撃であり、ブルートフォース攻撃よりも短時間で認証を突破できる特徴があります。「password」や「123456」といった単純なパスワード、誕生日やペットの名前など推測されやすい個人情報を使用している場合、数分から数時間で不正アクセスされるリスクがあります。

個人情報の漏洩、アカウント乗っ取り、金銭的被害といった深刻な影響を防ぐには、12文字以上の複雑なパスワード設定と多要素認証の導入が最も効果的です。企業においては、ログイン試行回数の制限、CAPTCHA導入、定期的な脆弱性診断など多層的な対策が求められます。

こうしたセキュリティ対策の実現には、専門的な知識と継続的な監視体制が必要です。STNetでは、24時間365日体制でネットワークシステムを監視し、不正アクセスから保護する「NetStare(ネットステア)」を提供しています。セキュリティログの監視から脅威の検知、対策案の提示まで、専門技術員が企業のシステム運用管理をサポートします。辞書攻撃をはじめとするサイバー攻撃への対策をお考えの際は、ぜひお気軽にご相談ください。

この記事で紹介しているサービス

セキュリティ運用監視サービス NetStare (ネットステア)supported by SecuAvail

セキュリティのプロがネットワークシステムを24時間365日監視し、脅威への対応を実施します。

よくあるご質問

Q. 辞書攻撃とは

A. 辞書攻撃とは、よく使われる単語や数字のリスト(辞書)を用いて、パスワードを推測し不正ログインを試みるサイバー攻撃です。「password」や「123456」などの単純なパスワードが特に狙われやすくなります。

詳しくは「辞書攻撃とは?基本的な仕組みと攻撃手法」をご覧ください。

Q. 辞書攻撃とブルートフォース攻撃の違い

A. ブルートフォース攻撃はすべての文字列の組み合わせを機械的に試すのに対し、辞書攻撃は意味のある単語に絞って試行します。そのため辞書攻撃の方が効率的で、短時間でパスワードを突破できる可能性が高くなります。

詳しくは「ブルートフォース攻撃との違いと効率性の比較」をご覧ください。

Q. 辞書攻撃を防ぐには

A. 最も効果的な対策は、12文字以上のランダムな文字列でパスワードを作成し、多要素認証(MFA)を導入することです。大文字・小文字・数字・記号を組み合わせ、意味のある単語を避けることが大切です。

詳しくは「辞書攻撃による被害事例と効果的な対策」をご覧ください。

Q. 多要素認証とは

A. 多要素認証(MFA)とは、パスワードに加えて、スマートフォンに送られる認証コードや指紋認証など、複数の要素で本人確認を行う仕組みです。パスワードが破られても不正ログインを防げるため、辞書攻撃への強力な防御策となります。

Q. パスワードは何文字以上にすべきか

A. 最低でも12文字以上、推奨は15文字以上のパスワードが安全とされています。文字数が長いほど解読に時間がかかり、辞書攻撃の成功率が大幅に低下します。大文字・小文字・数字・記号を組み合わせることでさらに強度が増します。

関連記事