パスワードを狙ったサイバー攻撃と対策方法

2025/01/16 セキュリティ対策

公開日 2025年1月15日｜最終更新日 2025年1月16日

システム担当者が常駐していない中小企業や個人事業主は、どうしてもセキュリティ対策が不足になりがちです。同じパスワードを使い回したり、簡単に推測できる文字列を使ったりしていないでしょうか。パスワードは推測しにくくして、他人に分からないように管理することが大切です。

リトアニアのセキュリティ企業Nord Securityが「2024年に最も使われたパスワード」として2024年11月に発表したデータによると、日本で被害に遭いやすいパスワードは、よく使われているパスワードと、それをハッキングするまでに要する時間はこのようになっています。

ランキング	パスワード	ハッキングに要する時間
１	123456	1秒
２	123456789	1秒
３	12345678	1秒
４	password	1秒
５	qwerty123	1秒

参考：Top 200 Most Common Passwords | NordPass
https://nordpass.com/most-common-passwords-list/

沢山の人に使われているという事は解読もされやすいということになります。

パスワードを狙ったサイバー攻撃

ブルートフォース攻撃（総当たり攻撃）

従来よく起こっていたのは「ブルートフォース攻撃（総当たり攻撃）」という方法で、あらゆる文字列を入力してみてログインを試みるという方法でした。

攻撃したときの成功率は決して高くはありませんが、あらゆる文字列の組み合わせは人が行うわけではありませんので、PCの性能が高くなればなるほど成功率は上がります。

後述する「パスワードリスト」攻撃のほうが遙かに成功率が高いのにもかかわらず、依然としてブルートフォース攻撃（総当たり攻撃）による被害は続いています。

パスワードリスト攻撃

「パスワードリスト攻撃」というのは、攻撃者が何らかの方法で入手したIDとパスワードのリストを用いて不正アクセスを試みる方法です。こちらは実際に使われているパスワードを入力するので一般的なブルートフォース攻撃に比べ高いと言われています。

どちらの攻撃方法であっても、不正アクセスされてしまうと、大切な情報が漏えいしたり、データを改ざんされるといった被害が出ます。ECサイトにアクセスされて高額商品を購入されてしまった、といった事件もありました。

パスワードの使いまわしによるセキュリティ被害事例

アカウントの不正アクセスによる被害は数多く報告されており、そのいずれがパスワードリスト攻撃による被害なのかを特定するのは非常に難しいことです。可能性が高いと言われている国内事例としては、以下のようなものが知られています。

【大手通信会社】

2018年には、大手通信会社が運営するオンラインショップにおいて、同社サービスを利用するアカウントが乗っ取られ、「iPhone X」を不正購入される被害が約1800件発生しました。機種変更手続きを経由して、約1000台のiPhone X（約１億４千万円）が、コンビニ受け取りなど登録住所とは異なる場所に送付されてしまったのです。この時に不正アクセスされたアカウントは、パスワードリスト攻撃によるものだったといわれています。この事件では、多要素認証を利用していれば未然に防ぐことが可能であったことから、現在このオンラインショップでの端末購入には多要素認証が必須となっています。

【決済ビジネス会社】

2019年、ある決済ビジネス会社が提供する決済サービスにおいて、他者になりすまして登録されているクレジットカードやデビットカードからチャージされ、店舗で実際に商品が購入されてしまう事件が発生しています。この事件は決済サービスの仕組みそのものに問題があったことで「システム側の問題」であることは間違いないのですが、アカウントの乗っ取りが行われていることを考えると、パスワードリスト攻撃の側面もあります。

アカウントを乗っ取られないための効果的な対策とは
アカウントを乗っ取るために行われるパスワードリスト攻撃は、ブルートフォース攻撃（総当たり攻撃）と呼ばれる総当たり攻撃の進化した形であるとも言われています。ブルートフォース攻撃は、ツールを使って何度もリトライを繰り返してパスワードを特定していく攻撃です。「パスワードによく使用される文字列」や「個人の生年月日」「乗っている車のナンバー」などを組み合わせるといった手法を使われることもあります。

パスワードリストは、既に他のサービスで利用されているパスワードを組み合わせる攻撃です。人間の記憶力には限界があるため、ついつい同じパスワードを使ってしまう、あるいはいくつかのパターンで組み合わせているという人は多くいます。攻撃者はこうした人の行動をよく理解しているため、クレデンシャル（IDとパスワードなど認証に必要な情報）を一つでも入手すると、単純にそのクレデンシャルを利用するだけではなく、いろいろなパターンを試行するようなツールを利用します。しかも最近はAIを駆使して精度も高まっており、より精度の高いブルートフォース攻撃と言えるでしょう。

パスワードリスト攻撃やブルートフォース攻撃対策

かんたんな対策としては下記のような対策があげられます。

・単純な（推測されやすい）パスワードは使用しない
・同じパスワードを使いまわさない
・定期的にパスワードを更新する
・パスワードマネージャー利用する

破られにくいパスフレーズを使う

パスフレーズといった破られにくいパスフレーズを使う事で、従来のパスワードより文字数が多くなるので、その分ブルートフォース攻撃でのリスクを減らせます。

また、ランダムな文字列だと長くなると記憶することは難しくなりますが、フレーズであれば覚えやすいというメリットもあります。

パスワードで用いられるのはアルファベット、数字、記号のみですが、パスフレーズではスペースを含めることも可能です。

パスフレーズは推測されにくくするためのものですから、「Thank you very much」「Good luck!」など、日常でよく使うフレーズはやめましょう。大ヒットした曲名をそのまま使うことも避けたほうが無難かもしれません。

パスフレーズは英語としての文法が正しくある必要はなく、複雑でかつ自分が覚えやすいものにすればいいのです。日本語をローマ字表記したものでも構いません。

また、英語、日本語以外の言語を用いても大丈夫です。

作ったパスフレーズは、複数のサイトで使い回さないことが大切です。どこかで漏えいしてしまうとパスワードリスト型攻撃の標的にされてしまいます。

一つパスフレーズを作ったら、サービスごとに何か文字や数字、記号などを足していく方法であれば自分でも覚えやすいですし、全く同じフレーズじゃなければ攻撃されるリスクは減らせます。

多要素認証を導入する

ワンタイムパスワード

ワンタイムパスワードは、通常のIDとパスワードによる認証後、メール、SMS、プッシュ通知などで1回限り使用できるパスワードが送られてくる仕組みです。ユーザーが所有しているPCやスマートフォンなどに送信されるため、ワンタイムパスワードは「所有情報」に含まれます。

インターネットバンキングなどでは、専用のセキュリティトークンを使ってワンタイムパスワードを入力するという方法もあります。最近ではセキュリティトークンの機能を持ったスマートフォンのアプリを利用するというパターンも増えています。

最近では「認証コード（セキュリティコードや確認コードと呼ばれることもある）」を送り、専用画面から入力するという仕組みを利用しているサービスも多いようです。

QRコード/バーコード

航空機のチケット、オフィスビルのゲスト入館などで見かけることの多い認証の仕組みです。事前に登録する際に別の要素の認証を経ていることが多く、多要素認証の一つと言えるでしょう。

ICカード＋生体認証

銀行のキャッシュカードなどはICカードを利用したものが多く、生体認証で利用できるATMも増えています。また、金融関連など高いセキュリティレベルが要求される企業のシステムでは、専用のICカードを専用のリーダーで読み取り、生体認証を経なければ利用できないこともあります。

FIDO2

FIDO(Fast Identity Online)認証とは、非営利の標準化団体である「FIDO Alliance」が主導して標準化を進める認証技術の国際規格です。パスワードを利用することなく（パスワードレス）、相手が本人であることを特定するための認証技術の開発と標準化を目指しています。

FIDOには「FIDO UAF」「FIDO U2F」「FIDO2」の3つの種類が存在しますが、現在の業界標準は「FIDO2」と、このFIDO2をWeb技術の標準化団体であるW3C（World Wide Web Consortium）がWebの標準規格として策定した「Web Authentication（WebAuthn）」でしょう。

パスワードレスを実現するため、FIDO2ではスマートフォンなどのデバイス内に保存した認証のための資格情報である「クレデンシャル」を用いて認証します。また、サーバーとデバイス間でやり取りされる認証情報は、公開暗号鍵方式によって暗号化されます。

パスキー（passkey）

パスワードに代わる認証方法「パスキー（passkey）」パスキーは、FIDO Allianceと、Webの標準化団体World Wide Web Consortium（W3C）が共同で企画した認証方法です。同2団体は、Web上でFIDO2による認証を行うWeb Authentication（Web Authn）というシステムも策定しています。

FIDOによる規格「FIDO2」により、パスワードレスでログインできるシステムは既に実現できていましたが、認証のための資格情報をデバイス内に保存する仕組みだったため、デバイスが変わるとその都度資格情報を再登録する必要がありました。

そこで、FIDOは、マルチデバイスに対応するシステムを考えました。これが「multi-device FIDO credential」、呼称「パスキー」なのです。

従来のパスワードを用いたログインでは、IDとパスワードの両方を入力し、入力されたものが正しいかどうかをシステム側で確認して認証される仕組みでした。

FIDO認証では、公開鍵暗号方式を用いています。Webサービスに最初にログインするときに、アカウントとそのWebサービスに紐づく公開鍵を生成し、Webサービスのサーバーに登録します。それと同時に、デバイスには公開鍵と対になっている秘密鍵を保管します。

2回目以降にログインする際は、秘密鍵で暗号化した認証情報（資格情報）をサーバーに送り、サーバー側は対になっている公開鍵で検証を行います。

この秘密鍵をデバイスごとに保管していたFIDO2と異なり、パスキーでは作成した秘密鍵をクラウドで保管し、各端末でのログイン時に用いるようになっているわけです。

なお、パスキーとは上記のとおり、multi-device FIDO credentialのことを言いますが、FIDO2認証でパスワードレス認証を行う仕組み全般のこともパスキーと呼ぶことがあります。

パスワードマネージャー利用する

人間の記憶力には限界があります。そのため、記憶力に頼るのではなく、パスワードをツールで管理するパスワードマネージャーのツールやサービスを利用すると便利です。パスワードマネージャーにアクセスするための「パワーパスワード」だけを記憶しておけば、ほかのサービスを利用する際にはパスワードマネージャーが自動的にパスワードを入力してくれます。

もちろん、パワーパスワードが漏れてしまうと、すべてのサービスにアクセスできてしまうのですが、多要素認証などでこうした事故を防ぐことも可能です。多要素認証はサービス側が対応していなければ利用できませんので、パスワードマネージャーを選ぶ際には多要素認証に対応しているものを選ぶようにした方がよいでしょう。

情報漏えいが起きたときの損害額を考えれば、BPOサービスを利用するコストのほうが安くあがります。