パスワードのハッキングというと、ハッカーが1つのアカウントで何百ものパスワードを試している姿を想像するかもしれません。このようなことは今でも起こりますが、常に起こるわけではありません。時には、ハッカーがパスワードスプレーを行うこともあります。

コードレス・スプレーとは何か、そして自分の身を守るために何ができるかを整理してみましょう。

パスワードの散布は何ですか？

通常の」ハッキングが、複数のアカウントで多くの異なるパスワードを試すことだとすれば、パスワードの散布はその逆です。ハッカーは多くの異なるアカウント名にアクセスし、わずか数個のパスワードで侵入を試みることができます。

アカウントのセキュリティが高ければ、ハッカーは「通常の」ハッキング手法を行わない。セキュリティシステムは、アカウントに何度もアクセスしようとする行為に気付き、ターゲットのプライバシーを守るためにロックアウトします。あるサービスにパスワードを何度も間違えて入力すると、ロックされてしまうという経験をしたことがあるかもしれません。

ハッカーが1回の攻撃で使うパスワードの数が少ないとしたら、どのパスワードを使っているのでしょうか？ハッカーにとって最善の策は、インターネット上で最も一般的に使用されているパスワードを使用することです。そうすることで、わずかなチャンスを最大限に生かすことができるのです。

私たちが使っているパスワードは、弱いものではありませんか？

もちろん、このような攻撃は、誰かが自分のアカウントで一般的に使用されているパスワードを使用しているかどうかに完全に依存しています。しかし、今の時代、これらのパスワードが誰かに使われる可能性はどのくらいあるのでしょうか？

残念ながら、私たちのパスワードの習慣は長年にわたってあまり改善されていません。NCSCは、スプレー攻撃に対する感受性をテストするために、任意団体を対象に調査を実施しました。その結果、75%の組織で、最初の1000個のパスワードの中に少なくとも1つ、87%の組織で最初の1万個のパスワードの中に少なくとも1つのアカウントを使用していることがわかりました。

これが、パスワードスプレーヤーが悪用するセキュリティ上の脆弱性である。組織内の一人のユーザーが脆弱なパスワードを使用するだけで、攻撃は効果を発揮します。ハッカーはこのアカウントにアクセスすると、この力を使ってシステムに深く侵入することができます。

パスワード攻撃のリスクにさらされるのは誰か？

一般的に、ハッカーはこのような攻撃を大企業や組織に対して行います。また、ハッカーは大量のアカウント名を知っているがパスワードがわからないという、危険にさらされたデータベースを持つユーザーに対してパスワードスプレーを使用します。

ハッカーが通過すべきアカウントは多数あるが、各アカウントを攻撃できる時間は限られている場合、パスワードスプレーが好ましい攻撃方法となる。

ハッカーは、パスワードが正しく入力されないと深刻なペナルティーを受けるアカウントを選んで、パスワードを吹き付ける。ハッカーは、パスワードを5回までしか試行できないウェブサイトのアカウント情報を入手した場合、人々がそれらを使用することを期待して、最も一般的に使用されている最初の5つのパスワードを使用します。

実際にコード噴射は行われたのでしょうか？

理想的な世界では、組織の全員が強力なパスワードを使用して、スプレーを停止することができます。残念ながら、ハッカーは過去にその手口を成功させており、Redmond Magは2018年にパスワードスプレーの事例が増加傾向にあると報告しているほどです。

その多くは企業を狙ったもので、貴重なビジネス文書を盗んで利益を得ようとするものと推測されます。また、組織によっては、ハッカーが攻撃対象者のリストを簡単に集められるようなユーザー名の構造になっている場合もあります。

Threatpostは、ソフトウェア仮想化事業者であるCitrixが、同社のアカウントの1つが侵害された後、どのように攻撃されたかを報告しています。ハッカーは、アクセスしたアカウントの未発見の権限によって、貴重なビジネス文書を盗み出しました。

この攻撃の恐ろしさは、コード噴霧が "控えめ "であるため、アラームが鳴らず、注意を引かないことである。シトリックスは、攻撃が行われてからかなり時間が経ってからFBIから通知が来るまで、攻撃が行われたことを知りませんでした。

パスワードの漏洩を防ぐには

この攻撃への対策は簡単で、より良いパスワードを使うことですパスワードの噴霧は、使用するパスワードが最もよく使われるパスワードリストの上位100件程度にあるかどうかに完全に依存します。

パスワードをより複雑にすることで、ネブライザーがあなたに対して使用するパスワードのプールからあなた自身を取り除くことができます。まず、あなたのパスワードが史上最悪のパスワードであった場合、すぐに変更するようにしてください。

もう少し深く知りたい方は、passwordrandomによく使われるパスワード10,000件のリストがあります。これらのパスワードの中には、**言語**で書かれているものもあるので、読むときには注意が必要です。

良いパスワードは何ですか？

弱いパスワードが分かったところで、良いパスワードとはどのようなものでしょうか。

パスワードの問題は、複雑であればあるほど強力ですが、その反面、覚えるのが難しいということです。

パスワード」や「12345」といったパスワードは、覚えやすく、入力しやすいため、多くの人が使っています。大文字や変な記号は入っていませんが、パスワードの噴射を防御するために必要なものです。

強靭で記憶に残るパスワードを設計する方法がたくさんあるのはありがたいことです。パスワードの衛生状態に問題がある場合は、忘れない強力なパスワードを作成する方法をお読みください。

より強力なパスワードで自分を守る

パスワードの吹き付けは、強力なパスワードを使用していないユーザーや企業にとって大きな問題です。時には、脆弱なパスワードのアカウントが1つあるだけで、ハッカーはこれを利用してシステム内にさらなる損害を与えることができるのです。ありがたいことに、パスワードを強化し、2FAを利用することで、自分の身を守ることができるのです。

残念ながら、ハッカーが使う手口はパスワードの吹き付けだけではありません。パスワードのハッキングによく使われる手口を知っておくと、さらにセキュリティを強化することができます。

写真提供：yekophotostudio/Depositphotos