ITパスポート試験 用語辞典
主にオフラインでのパスワードクラックで用いられる。
- 分野:
- テクノロジ系 » セキュリティ » 情報セキュリティ
- 重要度:
(Wikipedia 辞書攻撃より)
辞書攻撃(じしょこうげき、Dictionary attack)は、主にコンピュータセキュリティ上で用いられる用語で、クラッカーが特定のコンピュータに施されたパスワードを調べたり、スパム送信者が送信先のメールアドレスを決める際に用いる手法である。
概要
辞書攻撃は、辞書に記載された単語を利用して特定文字列を推察する方法だが、以下のように幾つかの利用方法がある。
クラッカーの攻撃
辞書攻撃の辞書とは、文字通りの辞書(この場合、主に英語の)で、これに載っている単語を、パスワード等を知るために、片っ端から入力して行き、対象のコンピュータが、どのような反応を示すかを調べ、件のコンピュータに施されたパスワードを知る事ができる。なお辞書と言っても大抵はコンピュータプログラムで利用し易いよう、単語のみが羅列してあるファイルである。
この、一見すると自転車などに使う番号組み合わせ錠を外すのに、0000~9999の全ての組み合わせを試すような非常に不毛な手法は、簡単なプログラムによって自動化するのも容易なため、ウェブページ改竄を目的とした技術程度の低いクラッカーが、サーバへ侵入する時などに良く試す方法の一つである。これは時間は確実に掛かるが、完全に失敗するという事が、比較的少ない。
また文字列を決めるのに、英語辞書の単語では無く、単純に「全ての文字の組み合わせ」を試す方法もあり、こちらは総当たり攻撃(ブルートフォースアタックとも)と呼ばれ、辞書そのものを使うよりも更に時間は掛かるが、より確実に結果がでる可能性が高い。同様の手法で、書庫ファイルに施されたパスワードを調べるソフトウェアも存在する。
迷惑メールの送信
スパムを携帯電話に向けて送信するスパム送信者の場合は、メールアドレスの“@”より前を、辞書にある単語や、文字の組み合わせを試すという方法で、メールアドレスのリストを作成し、これに向けて迷惑メールを送信する。
この方法では、ほとんどが「実在しないメールアドレス」になるとされており、実際に携帯電話会社のメールサーバが毎日扱うメールの内で8割以上は、これら辞書攻撃で作られた「宛先が存在しないため、配信されずに送信者に送り戻されるメール」だとする調査もある。また、この宛先不明の迷惑メールと見られるメールは、NTT DoCoMoの2001年の発表では、一日8億通にのぼる。これらの宛先不明メールの処理だけで、メールサーバに莫大な負荷が掛かるため、正常に相手先に届いている(ユーザー同士がやり取りしているメールを含む)1.5億通のメール遅延の要因にもなっている。
技術的問題と道義的問題
この辞書攻撃は、他人のコンピュータのパスワードを探ったり、誰かに迷惑な広告を送り付けるという実際の被害もさる事ながら、大量に送りつけられた情報を処理するのに、余計な仕事が増える関係上、標的となったコンピュータが他に行っている処理を遅らせる結果にも繋がる。
比較的良く似た攻撃(サーバへの一種の嫌がらせ)には、サーバに大量のリクエストを送り付ける事で、サーバの負荷を増大させて、全般的な機能低下や動作不良を誘発させるDoS攻撃もあるが、この辞書攻撃の方が、実質的な被害を与える事を目的として、副次的に負荷を増やしている点でより悪質といえる。
この手法は、クラッカーやスパム送信者にとって大変なデメリットがある。それは有意な結果を導き出すために、膨大な時間をサーバ接続した状態で費やす必要があるため、サーバを管理する側から(逆探知や調査をする時間もたっぷり取れるために)相手を特定され易い。また、DoS攻撃はサーバ側に対する業務妨害に繋がるため、損害賠償を求められる可能性が高いからである。
- 盗み見
- クラッキング
- ソーシャルエンジニアリング
- ビジネスメール詐欺
- ダークウェブ
- マルウェア
- ボット
- スパイウェア
- ランサムウェア
- ファイルレスマルウェア
- ワーム
- トロイの木馬
- RAT
- マクロウイルス
- ガンブラー
- キーロガー
- バックドア
- ファイル交換ソフトウェア
- セキュリティホール
- シャドーIT
- 不正のトライアングル
- 辞書攻撃
- 総当たり攻撃
- パスワードリスト攻撃
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- クリックジャッキング
- ドライブバイダウンロード
- SQLインジェクション
- ディレクトリトラバーサル
- 中間者攻撃
- MITB攻撃
- 第三者中継
- IPスプーフィング
- キャッシュポイズニング
- セッションハイジャック
- DoS攻撃
- DDoS攻撃
- クリプトジャッキング
- 標的型攻撃
- 水飲み場型攻撃
- やり取り型攻撃
- フィッシング
- ワンクリック詐欺
- ゼロデイ攻撃
- プロンプトインジェクション攻撃
- 敵対的サンプル
- ポートスキャン
- ウォードライビング
- サラミ法
- バッファオーバフロー攻撃
- 基礎理論(23)
- アルゴリズムとプログラミング(27)
- コンピュータ構成要素(32)
- システム構成要素(29)
- ソフトウェア(17)
- ハードウェア(14)
- 情報デザイン(21)
- 情報メディア(28)
- データベース(19)
- ネットワーク(71)
- セキュリティ(121)
このページのWikipediaよりの記事は、ウィキペディアの「辞書攻撃」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。