企業のパスワードはこうして盗まれる 13の手口を徹底解説：5分で分かるパスワード

パスワードを盗み出す犯罪者の手口を知らなければ、対策することもできない。犯罪者は不特定多数を狙う場合と特定の個人を狙う場合がある。それぞれどのような手口があるのだろうか。

[畑陽一郎，キーマンズネット]

　パスワードはもはや仕事とも生活とも切っては切れない存在だ。それだけにパスワードを盗まれると実害が大きい。

　連載第3回ではパスワードを盗み出す攻撃手法を紹介する。敵の攻撃手法が分かれば、どうやって守ればよいのかも分かるからだ。

これで分かる、不特定多数のパスワードを奪う13の手口

　サイバー攻撃者はパスワードを盗み出す場合、目的に応じて攻撃手法を変えている。誰でもよいからパスワードを盗み出したい場合と、特定の一人を狙う場合で攻撃が異なる。まずは不特定多数を狙う場合に使われることが多い手法を紹介しよう。なお、「盗み出す」という言葉の一般的な意味とは異なり、パスワードを盗み出す場合は、犯罪者が用意したパスワード候補が正しいことを確認する行為も含む。

時間がないユーザー向けの要約

• パスワードを狙う攻撃は「セキュリティソフトウェアで防ぐことができるもの」「ユーザーの日常の行動によるもの」「防ぐことが難しいもの」の3種類に分かれる
• パスワードを守るセキュリティソフトウェアは万能ではない
• 日常の行動を狙う攻撃に対しては、セキュリティを高める考え方に従うことで、ある程度対抗できる
• 防ぐことが難しい攻撃であっても、パスワードの使い回しをしないことなどが対策になる

（1）パスワードスプレー攻撃
　この手法では、連載第1回の前半で紹介したような弱いパスワードを攻撃者が使う。「password」や「1qaz2wsx」のような利用頻度が高いパスワードだ。

　このパスワードを大量のアカウントに対して同時に試す。パスワードを3回間違えたらロックされてしまうようなサービスであっても、アカウントごとに1回しか試していないため、ロックは働かない。

　あるアカウントに何度も間違ったパスワードを入力すると、ロックされなかったとしてもセキュリティソリューションに検知される可能性があるが、これも役立たない。つまり発覚しにくい攻撃だと言える。

Microsoftも攻撃されたパスワードスプレー攻撃

　パスワードスプレー攻撃を実行する際、高度な技術は必要ないが被害はかなりのものだ。

　2024年1月、ロシアの攻撃者集団「Midnight Blizzard」は、Microsoftに対してパスワードスプレー攻撃を実行した。この攻撃では、攻撃者が一般的なパスワードを使用して、「Microsoft 365」のメールアカウントにアクセスを試み、Microsoft幹部やサイバーセキュリティ部門の従業員のメールが流出する事態が発生した。

（2）パスワードリスト攻撃
　クレデンシャルスタッフイング攻撃とも呼ばれる。企業などから個人情報が漏えいする場合、IDとパスワードの両方が漏れる場合がある。ダークWebからもこのような情報を入手できる。このような漏えい情報や他の手段で不正に入手した大量のIDとパスワードの組み合わせを攻撃者が利用する。

　パスワードリスト攻撃では、その組み合わせを使って、漏えいを起こしたサービスとは異なるサービスを狙う。複数のサービスで同じIDとパスワードを使い回しているユーザーがいることを利用する。この攻撃もユーザーには見えないタイプだ。

（3）フィッシング攻撃
　攻撃者は公的機関や銀行、通信販売事業者など比較的信用のある組織を装った偽のメールを不特定多数に送り付けたり、そのような偽のWebサイトを用意したりする。そして、ユーザー自身にパスワードを入力させる。フィッシング攻撃でパスワードを盗み出す際はユーザーが手を動かす必要があるため、パスワードスプレー攻撃と比べると対抗しやすい。

（4）マルウェアの利用
　さまざまな手段を用いてユーザーのPCにマルウェアをインストールすることから攻撃が始まる。その後、キー入力を記録するキーロガーなどのツールを使って、ユーザーが入力したパスワードを記録する。キーロガーが働いている期間が長いと、複数のパスワードを効率良く収集できる。マルウェアを検知するサービスを利用することで対抗できる。

（5）ブルートフォース攻撃
　この攻撃は古典的だ。攻撃者は自動化されたツールを使用して、利用可能な全てのパスワードの組み合わせを試みる。狙ったパスワードの長さが短かったり、単純だったりした場合に効果的だ。成功する確率は高くないものの、対抗する手段は少ない。

（6）脆弱（ぜいじゃく）性の利用
　Webサイトの脆弱性を使う攻撃が複数ある。例えばクロスサイトスプリリクティング攻撃では、攻撃者が脆弱なWebサイトに悪意のあるJavaScriptコードを埋め込む。そのWebページにアクセスするとコードが自動実行されて、ユーザーの入力情報を盗み出し、攻撃者が管理するサーバに送信されてしまう。正規のWebページに似せた偽のWebページを作成したり、ユーザーのセッションCookieを盗み出したり、マルウェアを注入したりすることもできる。クロスサイトスクリプティング攻撃に対抗するにはWebサイトの運営者側の対策が必要になる。ユーザー側でもWebブラウザのセキュリティ設定を強化したり、セキュリティソフトウェアを導入したりすることである程度防ぐことが可能だ。

（7）公共のWi-Fiネットワークの利用
　この手法は中間者攻撃、暗号化方式の脆弱性利用、パケットスニッフィング、DNSスプーフィング、偽のWi-Fi接続など多様な攻撃手法に分かる。

　中間者攻撃では攻撃者が通信を傍受し、暗号化されていないデータを盗み取る。公共のWi-Fiでは通信が暗号化されていないことがあり、入力したパスワードが盗まれてしまう。Wi-Fiの暗号化方式に脆弱性がある場合でも中間者攻撃が成立する。WEPなどの古い暗号化方式を使用しているWi-Fiが危ない。

　パケットスニッフィングはより高度な攻撃だ。攻撃者が「Wireshark」や「tcpdump」「Snort」などのソフトウェアを使用して、Wi-Fiを伝わるデータパケットを捕捉する。データパケットを分析することでパスワードを抽出できる。なお、これらのオープンソースソフトウェアは正規の用途があり、犯罪者専用ではない。

　次に挙げる2つの攻撃はさらに悪質だ。DNSスプーフィングでは攻撃者がユーザーのWebブラウザから送られてきたDNS要求を改ざんして、ユーザーを偽のWebサイトに自動的に接続してしまう。ここでパスワードを入力するとおしまいだ。

　偽のWi-Fi接続では攻撃者が正規のアクセスポイント（AP）だと誤認しやすい偽のAPを設置する。このAPに接続してしまうと、全ての情報が盗まれる。もちろんパスワードも窃取される。

　公共のWi-Fiネットワークを悪用する攻撃はユーザー側で防ぐことが比較的難しい。専用の対策が必要だ。

（8）個人情報の大量窃取
　不正アクセスやランサムウェア攻撃などを利用して企業のデータベースなどから大量の個人情報を窃取する。この場合にもパスワードが盗み出される可能性がある。

特定の個人のパスワードを盗み出す場合

　特定の個人を主に狙う攻撃は不特定多数を狙う攻撃とはかなり異なる。

（9）スピアフィッシング攻撃
　（2）と似ているものの、特定の個人を狙った攻撃だ。狙った人物に関連する情報を利用して、よりだまされやすい偽のメッセージをカスタマイズする。取引先や上司、業界団体など仕事に関連する情報や、その個人が属している社会的なグループや趣味に関連する知人を装うことで、（2）よりも効率的にパスワードを盗み出すことが可能だ。

（10）水飲み場攻撃
　狙った相手が訪れる可能性の高いWebサイトをあらかじめ改ざんしておき、アクセスするとマルウェアが組み込まれてしまうようにする。このマルウェアがパスワードを盗み出す。

水飲み場攻撃で5億人の情報が漏えい

　ホテルチェーンMarriott Internationalの事例では水飲み場攻撃が利用された。攻撃者は同社の従業員が訪れるWebサイトを狙い、マルウェアを仕込んだ。その結果、複数年にわたり約5億人の顧客情報が流出した。

（11）ソーシャルエンジニアリングの利用
　狙った対象が信頼できる友人や同僚のふりをする点では（9）と似ているが、対象に直接パスワードを尋ねる点が異なる。情報システム部門を装ってパスワードを聞き出す手口が典型だ。心理的なトリックを利用して、ターゲットを誤った行動に導く攻撃だと言える。ITを利用するのではなく、電話や音声メッセージを使った「ヴィッシング」という手法もある。

（12）物理的な手法
　（11）をさらに発展させた手法がこれだ。攻撃者が狙った人物に対して物理的に接近できる場合、ショルダーハッキング（肩越しにパスワードを盗む）を試みることがある。PCの画面を開いたまま、短時間PCから離れた隙を狙うことも可能だ。

（13）SIMスワッピング
　狙ったユーザーの個人情報を収集し、これを使って携帯電話会社をだまして、正当なユーザーになりすまし、標的の電話番号を攻撃者のSIMカードに移すことで成立する。こうなると電話番号ベースの二要素認証は役に立たなくなる。犯罪者は二要素認証を自由に利用できるようになるため、狙ったユーザーのアカウントに不正アクセスできるようになる。

SIMスワッピング攻撃で有名人のアカウント乗っ取り

　SIMスワッピング攻撃の被害者として最も有名なのは元TwitterのCEOとして知られるジャック・ドーシー氏の事例だ。攻撃者は2019年8月に本文で説明した通りの方法でドーシー氏の電話番号を自らのSIMカードに移動した。その後、人種差別的な投稿や不適切な内容の投稿を続けた。企業が事業を広げたり、投資したりするタイミングでSIMスワッピング攻撃を受けたらどうなるだろうか。

　SIMスワッピング攻撃は暗号通貨の盗難でも利用されている。暗号通貨の投資家として知られるマイケル・ターピン氏は2018年に2380万円分のBitcoinなどの暗号通貨を奪われた。

　他にもBluetoothを利用したり、PCが放射する電磁波を傍受したりするなどの攻撃手法があるものの、事例は少ない。

　次回も引き続き、パスワードに関連する話題を解説する。