セキュリティ侵害」と聞いて、あなたは何を思い浮かべますか？デジタル文字のマトリックスで覆われたスクリーンの前に座っている悪意のあるハッカー？あるいは、地下室に住んでいて、3週間も日の光を浴びていないティーンエイジャーは？強力なスーパーコンピューターが全世界をハッキングしようとするのはどうでしょう？

ハッキングは、パスワードがすべてです。もし誰かがあなたのパスワードを推測できたとしても、派手なハッキング技術やスーパーコンピューターは必要ありません。あなたとしてログインされます。パスワードが短くてシンプルだと、ゲームオーバーになります。

ここでは、ハッカーがパスワードを破るためによく使う8つの手口を紹介します。

1 辞書ハッカー

パスワードハッキングの手口としてよく知られているのは、まず辞書攻撃です。なぜ辞書攻撃と呼ばれるのですか？なぜなら、パスワードに基づいて定義された「辞書」の中のあらゆる単語を自動的に試行するからです。厳密に言うと、この辞書は学校で使っていたものではありません。

そうでもないんです。この辞書は実際には小さなファイルで、よく使われるパスワードの組み合わせも含まれています。123456、qwerty、password、iloveyu、歴史的なクラシックバージョンのhunterなどです2 上表は、2016年に最も漏洩したパスワードの詳細を示しています。

下の表は、2020年に最も漏洩したパスワードの詳細です。この2つの類似点に注意してください。そして、これらの非常に単純なオプションを使用しないように注意してください。

長所：迅速な対応と、厳重に保護されているアカウントのロック解除が可能。

短所：少し強めのパスワードでも安全性が保たれる。

安全性を保つ：パスワード管理アプリケーションを使用して、各アカウントに強力なワンタイムパスワードを使用します。パスワードマネージャーは、追加のパスワードをリポジトリに保存することができます。そして、各ウェブサイトに1つだけ、とんでもなく強力なパスワードを使用することができます。Googleパスワードマネージャの概要を参照して、使い始めてください。

2 ブルートフォース

次にブルートフォースアタックですが、これは攻撃者が可能な限りの文字の組み合わせを試してみるというものです。試行されるパスワードは、例えば、大文字、小文字、小文字の円周率、ピザの注文など、複雑さの規則の仕様に適合しているものである。

また、ブルートフォースアタックでは、まず最もよく使われる英数字の組み合わせを試します。この方法では、パスワードの計算に時間がかかることがありますが、これはパスワードの複雑さに完全に依存します。

長所：理論的には、あらゆる組み合わせを試すことで、どんなパスワードもクラックされる。

デメリット：パスワードの長さや難易度によっては、非常に長い時間がかかることがある。さらに、$、&、{、]などの変数を加えると、パスワードを把握するのは非常に難しくなります。

安全性を保つ：常に可変の文字の組み合わせを使用し、可能な場合は追加の記号を導入して、複雑さを加えます。

III.フィッシング

厳密には「ハッキング」ではないのですが、フィッシングやスピアフィッシングの被害にあうと、たいてい悪い結果になります。平均的なフィッシングメールは、世界中のインターネットユーザーに様々な形で数十億円を送っています。

フィッシングメールは通常、次のようなものです。

1. 対象ユーザーが、主要な組織や企業を名乗る偽造メールを受け取る。
2. 緊急の対応を要する、ウェブサイトへのリンクを含む偽の電子メール
3. リンク先は、実際には全く同じ正規サイトの外観を模倣した偽のログインポータルにリンクされている
4. 疑わしくないターゲットユーザーがログイン情報を入力すると、リダイレクトされるか、再試行するように指示されます。
5. ユーザー認証情報の盗難、**または悪意のある使用（またはその両方）。

毎日送信されるスパムメールの数は、世界的に見ても依然として多く、全世界のメール送信数の半分以上を占めています。また、悪質な添付ファイルの件数も多く、カスペルスキーによると、2020年1月から6月までの悪質な添付ファイルの件数は9200万件を超えているとのことです。これはカスペルスキーだけの話なので、実際の数字はもっと高いことをお忘れなく。

2017年当時、フィッシングの最大の誘い文句は「○○○○」でした。しかし、2020年、COVID-19のパンデミックにより、新たなフィッシングの脅威が発生します。

多くの国がパンデミック封鎖に入った直後の2020年4月、GoogleはCOVID-19を件名とする悪質なスパムメールやフィッシングメールを1日に1800万通以上ブロックしていると発表しました。これらのメールの多くは、**またはWHOの公式ブランドを使って正当性を主張し、被害者を不意打ちします。

長所：パスワードも含めてログイン情報をそのまま渡すことができる。比較的ヒット率が高く、特定のサービスに仕立てたり、スピアフィッシング攻撃で特定のグループを狙うことが容易である。

デメリット：スパムは簡単にフィルタリングされる、スパムドメインはブラックリストに登録される、Googleなどの大手プロバイダーは常に保護を更新している。

安全の確保：フィッシングメールの見分け方については、すでに説明したとおりです。さらに、スパムフィルターを最高値に設定するか、アクティブホワイトリストを使用することをお勧めします。クリックする前に、リンクチェッカーでメールのリンクが正当なものであるかどうかを判断してください。

4 ソーシャルエンジニアリング

ソーシャルエンジニアリングは、基本的に画面から離れた現実世界でのフィッシングです。以下の私の短い基本例をお読みください（以下、注意点あり！）。.

セキュリティ監査の中核となるのは、スタッフ全員が何を理解しているかを測定することです。この場合、警備会社は監査対象の事業者に電話をかけます。攻撃者」は、自分が新しいオフィスの技術サポートチームであり、特定の最新のパスワードが必要であると電話をかけてきた人に伝えます。疑うことを知らない人は、迷うことなく王国の鍵を渡してしまうかもしれません。

怖いのは、この方法がよく使われることです。ソーシャルエンジニアリングは、何世紀にもわたって行われてきました。セキュリティエリアへの口頭でのアクセスは、教育によってのみ防ぐことができる一般的な攻撃方法です。というのも、攻撃は必ずしもパスワードを直接要求するものではないからです。配管工や電気技師の偽物が、安全な建物への立ち入りを要求している、などということもあり得ます。

メリット：熟練したソーシャルエンジニアは、様々なターゲットから価値の高い情報を引き出すことができる。

デメリット：ソーシャルエンジニアリングに失敗すると、攻撃が迫っているのではないかという疑念が生じ、正しい情報を得られるかどうかが不安になる。

安全であること：これは厄介なことです。ソーシャル・エンジニアリングの成功は、あなたが間違いに気づく頃には完成していることでしょう。教育やセキュリティ意識向上は、緩和策の中核となるものです。後で不利になるような個人情報は公開しないようにしましょう。

5 レインボーテーブル

レインボーテーブルは、通常オフラインのパスワード攻撃です。例えば、攻撃者はユーザー名とパスワードのリストを取得しますが、それらは暗号化されています。暗号化されたパスワードはハッシュ化される。つまり、元のパスワードとは全く違うものに見えるのです。

例えば、あなたのパスワードが（そうでないことを祈ります!）ログマンこのパスワードの既知の MD5 ハッシュは "8F4047E3233B39E444E1AEF240E80AA" です。

しかし、場合によっては、攻撃者は平文のパスワードのリストをハッシュアルゴリズムにかけ、その結果を暗号化されたパスワードファイルと比較することもあるのです。また、暗号化アルゴリズムが脆弱で、ほとんどのパスワードがすでに解読されている場合、例えばMD5（「logmein」の具体的なハッシュがわかるわけです）のように

ここで、レインボーテーブルの本領が発揮されます。レインボーテーブルは、何百ものパスワードの候補と、それらが生成するハッシュを照合する代わりに、アルゴリズムに特化した事前計算されたハッシュの集合体である。

レインボーテーブルの使用は、パスワードの列を破るのに必要な時間を大幅に短縮することができますが、完璧ではありません。ハッカーは、何百万通りもの組み合わせがあらかじめ用意された虹のテーブルを購入することができます。

長所：複雑なパスワードを短時間で見つけることができるため、特定のセキュリティシナリオにおいてハッカーに大きな力を与えることができます。

デメリット：巨大な（時にはテラバイト級の）レインボーテーブルを保存するために、多くの容量が必要である。また、攻撃者はテーブルに含まれる値に限定されます（そうでなければ、別のテーブル全体を追加する必要があります）。

安全の確保：もう一つの厄介な問題。レインボーテーブルは、幅広い攻撃の可能性を持っています。パスワードのハッシュ化アルゴリズムにSHA1やMD5を使用しているサイトは避けてください。短いパスワードに制限したり、使用できる文字を制限しているサイトは避けてください。常に複雑なパスワードを使用する。

ウェブサイトが平文のパスワードを保存しているかどうかを確認する方法を知りたいですか？

6 マルウェア／キーロガー

ログイン情報を紛失するもう一つの確実な方法は、マルウェアを使用することです。マルウェアはどこにでも存在し、大惨事を引き起こす可能性を秘めています。キーロギング機能を持つマルウェアの場合、すべてのアカウントが危険にさらされる可能性があります。

また、マルウェアは、個人情報を特に狙ったり、リモートアクセス・トロイの木馬を導入して認証情報を盗み出したりします。

長所：何千ものマルウェアの亜種があり、その多くがカスタマイズ可能で、いくつかのシンプルな配信方法を備えています。多くのターゲットが少なくとも1つのバリアントで屈服する可能性が高い。検出されないまま、個人データやログイン情報へのさらなるアクセスを許してしまう可能性があります。

デメリット：マルウェアが動作しない、またはデータにアクセスする前に隔離される可能性があり、データが有用である保証はない。

セキュリティ：アンチウィルス、アンチマルウェアソフトを導入し、定期的に更新する。ダウンロード元は慎重に検討しましょう。バンドルウェアなどが含まれるインストーラーをクリックしない。悪質なウェブサイトを避ける（言うは易く行うは難し、ですね）。スクリプトブロッキングツールを使用して、悪意のあるスクリプトを阻止する。

7 クローリング

先ほど説明した辞書攻撃へのリンクを追加します。ハッカーが特定の組織や企業をターゲットにした場合、企業そのものに関連する一連のパスワードを試すかもしれません。ハッカーは、関連する用語を読み込んで照合したり、サーチ・スパイダーを使ってこの作業を代行することができます。

スパイダー」という言葉を聞いたことがあるかもしれません。これらのサーチ・スパイダーは、インターネット上を這い回り、検索エンジンのためにコンテンツをインデックスするスパイダーと非常によく似ています。そして、ユーザーのアカウントに合わせたカスタムワードリストを使用し、一致する単語を探します。

利点：組織内の高いレベルの個人のアカウントを解除できる可能性がある。比較的簡単に組み立てることができ、ディクショナリー攻撃に新たな次元を追加することができる。

デメリット：組織のネットワークセキュリティがしっかり設定されている場合、成果が上がらないまま終わる可能性が高い。

安全性を保つ：繰り返しになりますが、ランダムな文字列で構成された強力なワンタイムパスワードのみを使用し、あなたの役割、ビジネス、組織などと関連付けないようにしましょう。

8ショルダーピープ

さて、最後のオプションは、最も基本的なものの一つです。あなたがパスワードを入力している間に、誰かがあなたのパスワードを見たらどうでしょうか？

ショルダーサーフィンなんて、ちょっとバカバカしいと思うかもしれませんが、実際に起きていることなんです。都心の繁華街にあるカフェで仕事をしていて、周囲に注意を払わないでいると、誰かが近づいてきて、タイピング中にパスワードを書き留めるかもしれません。

長所：ローテクでパスワードを盗み出すことができる。

デメリット：まずターゲットを特定してからパスワードを割り出す必要があり、盗む過程で自分の姿を晒す可能性がある。

安全を確保する：パスワード入力時には周囲の人に気を配り、入力中はキーパッドを覆い、カバーをする。

常に強力でユニークなワンタイムパスワードを使用すること

では、ハッカーにパスワードを盗まれないようにするには、どうすればよいのでしょうか。一番簡単な答えは、100％安全ということはありえないということです。ハッカーがあなたのデータを盗むために使うツールは、常に変化しています。しかし、脆弱性にさらされるリスクを軽減することは可能です。

ひとつだけ確かなことは、強力でユニークなワンタイムパスワードを使うことは、決して損にはならないということです。強力なパスワードやパスワードフレーズを作成するためのツールが必要な場合は、私たちにお任せください。