辞書攻撃とは、パスワードを解読するための攻撃手法のひとつで、あらかじめ用意したパスワード候補のリスト(辞書)を順番に試すことで正しいパスワードを割り出そうとする手法です。ブルートフォース攻撃がすべての文字の組み合わせを機械的に試すのに対し、辞書攻撃は実際に使われやすいパスワードに絞って試行するため、効率よく短時間で解読できる点が特徴です。
辞書に含まれる候補としては、「password」「123456」「qwerty」などよく使われる単語や数字の並びのほか、英単語・人名・地名・生年月日など、ユーザーが設定しがちなパスワードが網羅されています。また、単語の末尾に数字を加えた「password123」や、文字を記号に置き換えた「p@ssword」のような変形パターンも辞書に含まれており、単純な工夫では対策として不十分なケースも多くあります。
さらに、過去に流出したパスワードのリストを活用したクレデンシャルスタッフィングと呼ばれる手法も辞書攻撃の一種として位置づけられます。漏えいした実際のパスワードが使用されるため、的中率が非常に高く、パスワードを使い回しているユーザーは特に大きなリスクにさらされます。
辞書攻撃への対策としては、辞書に含まれるような単純な単語や推測されやすい文字列を避け、英字(大文字・小文字)・数字・記号を組み合わせたランダムな文字列のパスワードを設定することが最も効果的です。また、サービスごとに異なるパスワードを使用することで、仮に一つのパスワードが漏えいしても他のサービスへの被害の拡大を防ぐことができます。
加えて、一定回数のログイン失敗でアカウントをロックする機能の導入や、多要素認証の設定も有効な防御手段です。パスワード管理ツールを活用することで、複雑なパスワードを安全に管理することもできます。
辞書攻撃は技術的に高度な手法ではなく、攻撃者にとって手軽に実行できる攻撃であるからこそ、基本的なパスワード管理の徹底が最大の防御策となります。
か
か