更新日: 2024年1月25日
パスワードクラック(パスワードクラッキング)の対策
- 🔐 1Passwordなどの高性能なパスワードマネージャーを使って解読不可能な強力パスワードを生成します。1Passwordは、高度な暗号化技術を駆使しており、全ログイン情報を自動保存および自動入力してくれます。また、万が一パスワードが漏えいした場合、警告を発します。
- 今すぐ1Passwordを試す(14日間リスクフリー)
ハッカーは、複数のパスワードクラッキング手法でユーザーアカウントへの侵入を試みます。オンライン攻撃が益々増加する中、ログイン情報やその他の大切な個人情報を守るためにも、ハッカーがどのようにパスワードを割り出すのか知っておくと便利です。
この記事では、一般的に使用されるパスワードのクラッキング技術、人気のクラッキングツール、パスワードがクラッキングされた場合の対処方法、およびパスワードを保護する方法についてご紹介します。
【3ステップで簡単!】パスワードをクラッキングから守る方法
- アカウントごとに個別の強力なパスワードを作成する。
英数字と特殊記号を組み合わせた16文字のパスワード(またはそれ以上)は、クラッキングされにくいとされています。 - アカウントの二要素認証(2FA)を有効にする。
2FAとは、パスワードとは別にワンタイムコードなどを使用した2重認証を要求するログイン設定です。 - パスワードマネージャーを利用する。
1Passwordなどのパスワードマネージャーを使えば、何百もの複雑なパスワードを安全に保存・管理することができます。
この記事は、パスワードのクラッキングやハッキングを推奨したり、容認するものではありません。パスワードを保護し、サイバーセキュリティのリスクをよりよく理解し、保護対策いただくことを目的としています。
代表的な11のパスワードクラッキング手法
パスワードのクラッキングやハッキングの手法は数多くありますが、ここでは特によく使われるテクニックを紹介します。
1. ブルートフォース攻撃
ブルートフォース攻撃(総当たり攻撃)とは、大文字、小文字、数字、特殊文字などを組み合わせたさまざまな変数に基づいて、毎分数千ものパスワード候補をランダムに生成し、パスワードフィールドに入力する攻撃です。
生成されたパスワードを手動で入力することもありますが、通常、ハッカーは、正しいパスワードを割り出すまでログインフィールドにパスワード入力し続けるブルートフォース攻撃プログラムを利用します。
ブルートフォース攻撃には、他にも以下のような種類があります。
- リバースブルートフォース攻撃:ハッカーがサイトのアカウントにリンクされたパスワードから、一致するユーザー名を割り当てる手法です。
- クレデンシャル・スタッフィング攻撃:不正入手したログイン情報を同ユーザーの別のアカウントでもログインできるか試す攻撃です。
- ハイブリッドブルートフォース攻撃:ブルートフォース攻撃技術と流出パスワードのデータベースを活用した攻撃です。
2. 辞書攻撃
辞書攻撃は、単語やフレーズが載った「辞書リスト」を使ってパスワードをクラッキングする攻撃です。このパスワードクラッキング技術は、ブルートフォース攻撃と似ており、ハッカーは、単に辞書の単語を使用するか、高度なツールを使って、「O」を「0」に置き換えたり、句読点を追加するなど、各単語を編集して、パスワードの組み合わせを推測します。
3. パスワードの推測
ブルートフォースプログラムなどが使えない場合、単純にユーザーのパスワードを推測するという方法です。ハッカーは、ユーザーの個人情報(家族名、自宅住所、ペットの名前、生年月日など)に基づいたパスワードの組み合わせを入力することで、ユーザーのパスワードを推測します。
4. フィッシング
フィッシングとは、ハッカーが偽サイトを作りユーザーにログイン情報やその他の個人情報を提供させる手法です。
最も一般的なフィッシングの手法には、以下のようなものがあります。
- フィッシングメール:フィッシングサイトへのリンクを含む大量のメールを送信する攻撃。
- スピアフィッシング:特定の個人(一般的には会社の従業員)にフィッシングリンクをメールで送信する攻撃。
- スミッシングメール:SMSメッセージを利用したフィッシング攻撃。
- ソーシャルメディアフィッシング:SNS、特にコメント欄(YouTubeのコメントやTwitterのリプライなど)に悪意のあるサイトへのリンクを掲載すること。
フィッシングは、最も頻繁に利用されるサイバーセキュリティ攻撃の1つです。しかし、高性能なセキュリティソフト(ノートンやBitdefenderなど)をインストールすることで、フィッシングサイトへのアクセスを防止したり、疑わしいリンクに警告を発したりすることができます。
5. ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、ハッカーが正当な人物(銀行のお客様担当者など)を装ってユーザーを騙し、必要な情報を提供させる手法です。心理的で巧妙な手口を使ってユーザーを信用させ、知らず知らずのうちに情報を漏洩するように仕向けます。
ソーシャルエンジニアリング攻撃には、以下のようなさまざまな方法があります。
- スキャムコール:詐欺師が銀行員など正規の企業の担当者を装い、個人情報を提供するよう促します。
- スキャムメール:詐欺師が正規の業者を装ったメールを送信し、個人情報を提供するよう誘導したり、デバイスにマルウェアをダウンロードさせるよう誘導します。詐欺師は通常、ターゲットとなるユーザーの信頼を得るため、ハッキング以前に連絡を取るなどします。
- SNS上のスキャムメッセージ:企業アカウントや友人を装ってユーザーを欺くこともあります。
- 対面詐欺:偽の制服を着て、あたかも会社の担当者かのように見せかけ、一連の質問をするなど、ソーシャルエンジニアリング攻撃を直接対面で行います。
6. スパイウェア
スパイウェアは、PCやスマートフォンでユーザーのアクティビティを監視・記録するマルウェアの一種です。デバイスの設定を変更したり、ウェブカメラをコントロールしたりすることもできます。通常、スパイウェアはユーザーのオンライン上の動きを監視し、訪問したサイト画面のログインユーザー名やパスワードを記録することも可能です。これによりハッカーは、ユーザーアカウントに簡単にアクセスすることができます。
スパイウェアは、通常検出が困難ですが、高性能なウイルス対策スキャナーを使えば、スパイウェアを検出して除去することが可能です。
7. キーロガー
キーロガーまたはキーロギングマルウェアとは、ユーザーのキーボードの文字列を記録して、情報を盗み出すソフト(またはハード)ウェアです。このマルウェアは、スパイウェアの一種に分類されます。キーボードの文字列を記録すると、その情報をハッカーが受信し、ログイン認証情報に関連するアカウントを特定します。
8. MITM(Man-In-The-Middle)攻撃
MITM攻撃(中間者攻撃)とは、ハッカーがネットワーク上のアクティビティを監視し、ユーザー名、パスワード、クレジットカード情報など、ネットワーク上で転送されるデータをハッキングする攻撃です。MITM攻撃は、一般的に公共Wi-Fiなど安全性に欠けるネットワークで起こり、高度なハッキング技術(IPスプーフィングなど)を使用してデータを盗み出します。
9. スパイダリング
スパイダリングとは、ハッカーが企業や個人に関する情報を収集し、ログイン情報を割り当てることを目的としたパスワードクラッキング手法です。ハッカーは、ターゲットユーザーのソSNSやウェブプレゼンスを調べた後、収集した情報(生年月日や会社名など)を基にパスワードの組み合わせを推測します。
10. レインボーテーブル攻撃
レインボーテーブル攻撃とは、暗号ハッシュ関数の出力をキャッシュするための事前計算テーブル(レインボーテーブル)を使ってパスワードを解読する攻撃です。しかし、この攻撃では、ハッカーはレインボーテーブル攻撃を実行する前に、まずテーブルにアクセスする必要があります。この攻撃は、「ソルト化」という技術によって阻止することができます。ソルト化は、ハッシュ値の強化を高めるため、ハッシュ化されたパスワードに追加のランダム値を追加する機能で、大抵のパスワード認証システムに搭載されています。
11. データ漏洩
データ漏洩とは、例えば、ハッカーが企業のサーバーにアクセスしユーザー名やパスワードを始めとするさまざまな機密データを盗み出す攻撃などを指します。ユーザーパスワードが1つまたは複数がデータ漏洩した場合、直ちにパスワードを変更する必要があります。
代表的なパスワードクラッキングツール
以下は、ハッカーが利用する代表的なパスワードクラッキングツールです。
- Cain & Abel
Cain & Abelは、Windows用の人気パスワードクラッキングツールです。ルートプロトコルやパケットの分析、ワイヤレスネットワークのMACアドレスのスキャン、ブルートフォース攻撃や辞書攻撃の実施など、幅広い攻撃を実行できます。 - Hashcat
Hashcatは、Windows、macOS、Linux用の無料のオープンソースのパスワードクラッキングツールです。業界最速のパスワードクラッカーを搭載し、ブルートフォース攻撃や辞書攻撃も可能です。 - John the Ripper
John the Ripperは、LinuxとmacOS用のコマンドベースのパスワードクラッキングアプリケーションです。無料、オープンソースで、Unix、macOS、Windowsのユーザーパスワード、Webアプリケーション、データベースサーバーなど、さまざまな暗号とハッシュの種類に対応しています。 - Ophcrack
Ophcrackは、レインボーテーブル攻撃を使用してパスワードハッシュをクラックするように設計された、無料のオープンソースツールです。Windows、macOS、Linuxで利用可能です。ブルートフォースアタック機能が搭載されており、大抵のパスワードを数分でクラッキングできます。 - RainbowCrack
RainbowCrackは、レインボーテーブルを作成しユーザーのパスワードをクラックするブルートフォースパスワード復元ツールです。 - CrackStation
CrackStationは、レインボーテーブルを利用してパスワードハッシュにアクセスする無料のパスワードクラッカーです。 - WFuzz
WFuzzは、主にブルートフォース攻撃でウェブアプリケーションのパスワードをクラックするためのパスワードクラックツールです。
他にも多くのパスワードクラッキングツールがあり、ハッカーは効率的にパスワードを割り出すため、複数のツールを同時に利用することが多々あります。
パスワードが侵害されたか確認する方法
- データ侵害スキャナーを実行する。
1Passwordなどの高性能なパスワードマネージャーに搭載されているデータ侵害スキャナーは、データ侵害によりパスワードやその他の個人データがダークウェブに流出した際に通知してくれます。 - 不審なアクティビティを特定する。
自身のメールアドレスから見覚えのないメッセージが送信されるなど、異常な動作がある場合、パスワードがハッキングされた可能性が高いため、直ちにアカウント保護対策を実施しましょう。 - 見知らぬデバイスやロケーションからのログイン通知。
見知らぬデバイスやロケーションからアカウントログインの通知があった場合、ハッカーがパスワードを割り出してアカウントにアクセスした可能性が高いです。 - パスワード漏洩警告を確認する。
password123などよくありがちなパスワードを設定した場合、パスワード漏洩の可能性がある旨を通知する画面が表示されますので、直ちに変更しましょう。 - 見覚えのない二要素認証(2FA)のコード要求。
見覚えのない2要素認証コードが要求された場合、パスワードがハッキングされ、ハッカーがアカウントにアクセスしようとしている可能性が非常に高いです。
パスワードが漏洩した場合の対処法
パスワードが漏れていることに気づいたら、まず、直ちにパスワードを変更しましょう。これは、不正アクセスされた際に被害を最小限に抑える基本的な対処法ですが、その他の対応として、パスワード漏洩したアカウントの二要素認証も有効化しましょう。
個人情報が流出していないかどうかを確認するため、データ漏洩スキャナーを備えた高性能なパスワードマネージャーのインストールもお勧めです。例えば、1PasswordのWatchtower機能は、データ漏洩によりパスワードが漏洩した場合に通知してくれます。
また、ダークウェブスキャンでその他の個人情報が流出していないか確認し、信頼性の高いIDプロバイダーに加入しておくと、ハッカーによる個人情報のさらなる搾取を阻止することができます。
パスワードのクラッキング(ハッキング)を防ぐ方法
強力なパスワードを作成する。
パスワードをハッカーから守る最も簡単で効果的な方法は、ハッキングされにくい複雑なパスワードを作成することです。パスワードが長くて複雑であればあるほど、クラッキングは困難になります。例えば、「cats123」のような短いパスワードは数秒とは言わずとも数分もあれば解読できますが、「CaTs-are_my-Favor1tE_aN1maL!」のような複雑なパスワードは、現在使われているクラッキングツールを使っても解読するには数百万年かかると言われています。
パスワードマネージャーを利用する。
1Passwordなど高性能なパスワード管理アプリは、ログイン情報を安全に保存するのに非常に効果的です。パスワードが高度な暗号化技術で保存され、ハッカーはマスターパスワード情報がない限り、パスワードを入手することは不可能です。1PasswordのPCとモバイルアプリは日本語にも対応しています。
パスワードマネージャーは、ハッカーが解読しづらい長く複雑なパスワードを自動生成することができます。大抵のパスワードマネージャーは、数字、文字、特殊記号を組み合わせて読解困難なパスワードを作成するパスワードジェネレーターを備えています。
ウイルス対策ソフトをインストールする。
ウイルス対策ソフトをインストールすれば、フィッシングやスパイウェアのような一般的なパスワードハッキングからデバイスを安全に保護することができます。通常、トップクラスのウイルス対策ソフトは、フィッシング攻撃を使ってハッカーがパスワードにアクセスするのを阻止するWeb保護を搭載しています。
最もオススメのウイルス対策ソフトはノートンで、マルウェア検出率100%で、フィッシング、スパイウェア、ランサムウェア対策機能を始めとする高性能セキュリティ対策を備えています。ノートンのPCとモバイルアプリは日本語にも対応しています。
ネット詐欺を未然に防ぐ。
疑わしいサイトへのアクセスや訪問を避けることが非常に重要です。また、メール、メッセンジャー、SNSなどを通じてフィッシングメッセージを送信し、ログイン情報をハッキングする脅威もありますので、疑わしい連絡先からのメッセージなどにも十分注意しましょう。また、危険な添付ファイルをダウンロードしないよう気をつけて、メールのスパムフィルターをオンにすることをお勧めします。
端末を最新の状態に保つ。
端末のソフトウェアとファームウェアを最新のバージョンに保つことが非常に重要です。古いソフトウェアアプリケーションやファームウェアには悪用可能な脆弱性があり、バージョンアップデートしないと、ハッカーのサイバー攻撃に対してデバイスが脆弱なままとなり、パスワードをハッキングするマルウェアがインストールされる可能性があります。
よくある質問
パスワードのクラッキングは違法ですか?
はい、パスワードのクラッキングは違法です。自身のパスワードにアクセスする目的でパスワードクラッキング手法を使うことは問題ありませんが、他人のパスワードにアクセスする目的の場合、刑事責任を問われる可能性があります。
1Passwordなどの高性能なパスワードマネージャーは、強力なパスワードを生成して厳重なパスワード金庫に安全に保管してくれますので、パスワードのクラッキングを防ぐことができます。
ハッカーはどんな方法でパスワードを割り出すのでしょうか?
最も一般的なパスワードクラッキングの手法には、ブルートフォース攻撃、フィッシング、スパイウェアなどがあります。ブルートフォース攻撃とは、ハッカーが様々な変数に基づいて何千ものパスワードをランダムに生成し、パスワードを解読しようとする攻撃です。フィッシングは、ユーザーを騙して個人情報を提供させることを目的とした詐欺サイトを使った手口で、スパイウェアは、PCやスマートフォンの画面を録画したり、デバイスの設定を変更したり、ウェブカメラをコントロールできる隠れたマルウェアの一種です。
どのようなパスワードが解読されにくいのでしょうか?
ランダムな数字、文字、特殊記号を組み合わせた長文パスワードは読解が困難です。この点を考慮すると、強力なパスワードを手早く作成する一番の方法は、トップクラスのパスワードマネージャのパスワードジェネレーター機能を使うことです。私の個人的なオススメは1Passwordのパスワードジェネレーターで、数字、文字、特殊記号をランダムに組み合わせて最大100文字の超強力パスワードを作成できます。
パスワードをクラッキングや盗難から守るにはどうしたらいいのでしょうか?
パスワードをクラッキングや盗難から守る代表的なステップとして、次のようなものがあります。
1Passwordなどのトップクラスのパスワードマネージャーは、安全性の非常に高いパスワードを生成してくれます。また、ノートンを始めとする高性能なウイルス対策プログラムは、フィッシング、スパイウェアなどのパスワードへの攻撃から保護してくれます。その他、端末を最新のバージョンに保つことで、サイバー攻撃のリスクを減らすことができます。
