パスワードを守ろう! ~いろいろな攻撃方法~【Pマーク取得の基礎知識】

個人情報を守ることとパスワードを正しく管理することは切っても切れない関係にあります。プライバシーマーク(Pマーク)の規格では個人情報の技術的安全管理措置の中にID・パスワードを管理してアクセス制御を盤石なものとすることが含まれています。
ほとんどのプライバシーマーク(Pマーク)取得会社が個人情報を電子データの形式で取り扱っていますので、パスワードを設定しでデータを漏えいから保護することが必要な対策となります。
しかしパスワードを設定していても、そのパスワードの内容がすぐに見破られるような単純なものであれば意味がありません。プライバシーマーク(Pマーク)取得会社においてはパスワードに設定する文字のルールを定める必要がありますが、そのルールは安全なパスワードを作るうえで十分なものでなければなりません。
どのようなパスワードが安全かを知るために、今回はそもそもパスワードクラックにどのような手法があるのかを簡単に見ていきたいと思います。なお「パスワードクラック」とは他人のパスワードを見破ってアカウントを乗っ取る行為のことです。
類推攻撃
「類推攻撃」とはよく使われる文字列を当ててパスワードを破る方法のことです。攻撃者は一般的に使われやすい文字列だけでなく、攻撃の対象となるアカウントのユーザーが使いそうな文字列も類推します。
たとえば「password」や「admin」などの文字列や、本人や会社の電話番号、誕生日、自動車のナンバーなどが類推されやすいパスワードです。
プライバシーマーク(Pマーク)(Pマーク)取得会社は従業員がこのようなパスワードを設定することがないよう社内ルールの徹底を図るべきでしょう。
辞書攻撃
「辞書攻撃」とは一般的に辞書に載っているような文字を順に試してパスワードを破る方法のことです。これはユーザーが往々にして記憶しやすい文字列として一般的な単語をパスワードに使う傾向にあることを利用したクラッキング手法です。
総当たり攻撃
「総当たり攻撃」とは推測とは関係なくすべての文字列を順に試してパスワードを破る方法のことです。「ブルートフォースアタック」と呼ばれることもあります。
考えうるすべての文字の組み合わせを順に試していく手法であるため論理的には時間がある限り100パーセントの確率でパスワードクラックを成功させることができます。
この手法に対する最大の対策はパスワードの文字数を増やすこと、パスワードに使う文字種(数字、英字、記号)を増やすこと、そしてパスワードを頻繁に更新することです。プライバシーマーク(Pマーク)を取得している会社においてパスワードの設定ルールに最低限の文字数や文字種などが定められているかどうかは非常に重要なポイントとなります。
攻撃方法は他にも
他の攻撃方法として、総当たり攻撃を応用したリバースブルートフォース攻撃(パスワードを固定してIDの総当たりを行う方法)やパスワードリスト攻撃(ユーザーが他のWebサービスで使っているIDとパスワードの組み合わせの情報を入手し、それでクラックを試みる方法)などがあります。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]