ハッカーは常に、パスワードを解読し、組織のデータやシステムにアクセスする新しい方法を探しています。では、どのようにすれば、ビジネスを防御するための適切な手段を講じることができるのでしょうか?
この記事では、最も一般的なパスワード攻撃の7つのタイプを探り、それらに対する防御方法のヒントを提供します。
ハッカーの手口を理解し、攻撃を阻止するためのベストプラクティスを学ぶことで、組織全体のセキュリティを強化することができます。
1.ブルートフォース攻撃
ブルートフォース攻撃では、ハッカーは自動化ツールを使って、正しいパスワードを見つけるまで、すべてのパスワードの組み合わせを理路整然とチェックします。
ブルートフォース攻撃は、特に弱いパスワードや短いパスワードに対して驚くほど効果的です。
ブルートフォース攻撃を防ぐには
- 一定回数の試行失敗後、アカウントをロックアウトするポリシーを導入する。
- パスワードの長さを20文字以上にする
- 複雑で覚えにくいパスワードの代わりにパスフレーズを使用する。
2.辞書攻撃
辞書攻撃では、ハッカーはよく使われる単語やフレーズ、過去に流出したパスワードのリストを使い、不正アクセスを試みます。
これは、ハイブリッド攻撃で一緒に組み合わせると、ブルートフォース技術を大幅にスピードアップすることができます。
辞書攻撃を防ぐには
- 文字、数字、記号の混在を要求する強力なパスワード・ポリシーを実施する。
- 一般的な業界用語や組織固有の用語をブロックするカスタム辞書を導入する。
- パスワード監査を実施する:Specops Password Auditorのようなツールを使用して、Active Directoryのパスワード関連のリスクを特定する。無料でダウンロードして、今すぐ読み取り専用スキャンを実行しよう。
3.パスワード散布
ハッカーは、検出を回避し、アカウントのロックアウト・パラメータを回避するために、パスワード・スプレーのテクニックを使用します。
同じアカウントに対して何度も試行する代わりに、攻撃者は多くのアカウントに対して共通のパスワードの小さなセットを使用します。 試行を分散させることで、ハッカーは従来のセキュリティ対策のレーダーをかいくぐることができます。
パスワード・スプレー攻撃を防ぐには
- 通常とは異なるログイン・パターンを検出し、それに対応できる適応型認証を提供するツールを使用する。
- ユーザーごとにユニークで複雑なパスワードの使用を強制する。
- 定期的にパスワード・ポリシーを監査し、更新することで、常に変化する脅威に対応する。
4.クレデンシャル・スタッフィング
クレデンシャル・スタッフィングとは、ハッカーがあるサービスで流出したユーザー名とパスワードの組み合わせを使用して他のサービスにアクセスしようとするもので、複数のアカウントでクレデンシャルを再利用しようとする人間の傾向を利用したものです。
クレデンシャル・スタッフィング攻撃を防ぐには
- 複数のアカウントで同じパスワードを使用する危険性についてユーザーを教育する。
- 各アカウントに一意なパスワードを設定しやすくするため、パスワード・マネージャの使用を奨励(または義務化)する。
5.フィッシング
フィッシング攻撃は非常に巧妙で、正規のサービスやサイトを模倣し、人を騙して行動を起こさせたり、機密情報を漏らしたりします。
ハッカーは、電子メールやテキストメッセージなど、さまざまな方法で被害者をフィッシングします。
フィッシング攻撃を防ぐには
- 包括的な意識向上トレーニングを定期的に実施する。
- メールフィルターを導入し、メールサーバーを設定して、フィッシングの試みを検出してブロックする。
- 外部からの電子メールを明確に識別するために、電子メールのバナーを使用する。
6.キーロガー攻撃
キーロガー攻撃は、パスワード攻撃の中でも最も危険なタイプの一つです。
キーロガー攻撃では、ハッカーはソフトウェアやハードウェアを使用して、ユーザーが入力したクレジットカード番号やパスワードを含む、すべてのキーストロークを記録します。
このような攻撃は、他の攻撃方法に対抗しうる最も複雑なパスワードを捕捉することができるため、特に陰湿です。
キーロガー攻撃を防ぐには
- すべてのシステムを最新のセキュリティ・パッチでアップデートする。
- すべてのデバイスに最新のマルウェア保護ソフトウェアを使用する。
- USBデバイスの使用とソフトウェアのインストールに関する厳格なポリシーを導入する。
- キーボード入力を回避する自動入力機能を備えたパスワード・マネージャの使用を奨励する。
7.ソーシャル・エンジニアリング
「やあ、エイミー。ITサポートのダレンです。あなたの部署のコンピュータに問題が発生しています。もうすぐ午後5時ですが、先ほどメールしたリンクをクリックして、ログインできるか確認してもらえますか?”
ソーシャル・エンジニアリング攻撃は、人々を操作して行動を実行させたり、機密情報を漏らしたりするために、さまざまなテクニックを使います。
ソーシャル・エンジニアリング攻撃は、多くの場合、緊急性や権威を装い、要求の正当性を確認することなく、受信者に迅速な行動を促します。
ソーシャル・エンジニアリング攻撃を防ぐには
- ソーシャル・エンジニアリングのシナリオを含むセキュリティ意識向上トレーニングを定期的に実施する。
- 特にヘルプデスクでは、パスワードのリセットに厳格な検証手順を導入する。
- ソーシャル・エンジニアリングに特に影響を受けやすいセキュリティ質問を避ける。
- 従業員が異常な要求に対して気軽に質問できるような、セキュリティ意識の文化を作る。
その他のベストプラクティス
パスワード攻撃に対する組織の防御策を準備する際には、以下のベスト・プラクティスを実施することを忘れないこと:
- 多要素認証(MFA)の導入:多要素認証(MFA)の導入:多要素認証は、セキュリティを強化する最善の方法の1つであり、漏洩したパスワードやソーシャル・エンジニアリング、その他のタイプのパスワード攻撃による潜在的な影響を軽減するのに役立ちます。
- パスワードのメモを避ける:物理的なメモやポストイットではなく、パスワード・マネージャーを使用するようユーザーに勧める。
- パスワードの再利用を防ぐ:パスワードの再利用や単純な変更(例:数字やウェブサイト名のみの変更)の危険性について、ユーザーを教育する。
- 破られたパスワードをチェックする:セキュリティが脆弱な個人用デバイス、サイト、またはアプリケーションで強力なパスワードを再利用しても、漏洩のリスクにさらされる可能性があります。Active Directoryを定期的にスキャンし、漏洩したパスワードをチェックするツールを使用することで、潜在的な脅威を検知し、減らすことができます。
- 複雑さよりも長さ:パスワード攻撃から身を守るには、長いパスワードやパスフレーズを使用するのが効果的です。複雑さよりも長さを重視しましょう。
パスワード攻撃からの防御
Specopsパスワードポリシーのようなツールを使用してActive Directoryを保護します。これにより、組織固有の要件に合わせてパスワードガイドラインをカスタマイズし、業界標準への準拠を維持することができます。また、パスワード変更時だけでなく、24時間365日、40億件を超える漏洩パスワードを継続的にスキャンし、ブロックします。
エンドユーザーにとって操作しやすいインターフェイスにより、ユーザビリティを維持しながら、企業ポリシーに準拠した強固なパスワードの作成方法について従業員に適切なガイダンスを提供します。エンドユーザーにより良いセキュリティ体験を提供することで、サポートの負担を減らすことができます。
攻撃に対する重層的な防御の構築についてもっと知りたいですか?
スペコプスの専門家にご相談ください。
Specops Softwareがスポンサーとなり、執筆しました。
Comments