辞書攻撃とは?
辞書攻撃は、攻撃者があらかじめ用意した「辞書(パスワード候補のリスト)」を使って、認証情報(ID・パスワード)を総当たりで試す攻撃手法です。
ランサムウェアの場合、初期侵入の段階でリモートデスクトップ(RDP)やVPNなどの認証突破に利用されることが多いです。
ランサムウェアでの具体的な流れ
- 攻撃対象の特定
攻撃者は公開されているRDPポートやVPNゲートウェイをスキャン。 - 辞書攻撃の実行
一般的なパスワードリスト(例:「password123」「admin2023」など)を使ってログイン試行 - 認証突破後の PC 侵入
PC の RDP、SMB共有に対して、辞書攻撃を実行 - PC 侵入後
管理者権限を窃取し、水平展開を実施
VPN 機器、Windows、NAS、USB メモリ、様々なアプリケーションが突破口となることから、情報セキュリティ規程で、推測可能なパスワード、過去漏洩したパスワード、悪用されたパスワードの使用を禁止する旨を規程し、IT ベンダーにも遵守させる必要があります。また、VPN 機器や Windows 等の管理者パスワードは最低でも16桁以上とし、辞書攻撃そのものを無効化する必要があります。
使用される辞書
辞書攻撃に使用される辞書は、過去の攻撃で成功したパスワードや、ダークウェブで流出したもの、イニシャル・アクセス・ブローカー(IAB)と呼ばれる ID /パスワードを販売する犯罪者から入手したものが考えられます。
リストからは、キーボードの配列を利用したもの、P@ssw0rd などの置き換えをしたもの、特定の単語に 1234 などを追加したものなどが見受けられます。
辞書攻撃の対策
NIST SP800-63B-4 への準拠
2025年7月に公開された米国国立標準技術研究所の電子認証のガイドライン (SP800-63B-4)の主要なパスワード要件は以下の通りです。
a. 最低長
パスワードを最低15文字の長さにすること。
b. 最高長
パスワードの長さを最低64文字まで許可すべき。
c. 複雑を要求しない
パスワードに対して他の合成ルール(例:異なる文字タイプの混合を要求するなど)を課してはならない。
d. 定期変更の禁止
定期的にパスワードを変更することを要求してはならない。しかし、認証者が侵害された証拠があれば、検証者は必ず変更を強制する。
e. ロックアウト設定
加入者アカウントで失敗できる認証試行回数を実質的に制限するレート制限メカニズムを実装すべき。
以上の要件を満たすための設定は、以下の通りです。
長いパスフレーズの採用
長く複雑なパスワードの記憶は困難ですが、複数の単語を組み合わせたパスフレーズなら、誰でも記憶可能であり、攻撃の難易度を高めることが可能です。
yaesakurashigatsu:八重桜四月(17桁)
hahatanjoubihanataba:母誕生日花束(20桁)
sewohayamiiwanisekaruru:瀬をはやみ岩にせかるる(23桁)
16桁以上確保できれば、94^16=37,157,429,083,410,091,685,945,089,785,856 という膨大な組み合わせ数となり、1秒間に1億回攻撃されても、数京年もの年月が必要となります。
ロックアウト設定
辞書攻撃は、ID を固定して連続的にパスワードを変更し、ログオンできるまで試行するという攻撃です。従って、連続して10回ログオンを失敗した場合、15分間、ログオンを禁止するロックアウト設定が有効です。ただし、Windows の既定の管理者である Administrator は既定値ではロックアウト設定がなされません。 Administrator は最も攻撃を受けるアカウントであることから、必ず、Administrator のロックアウト設定を実施します。
管理者パスワードの棚卸
IT ベンダーを含め、すべての通信機器、サーバー、PC、NAS、USB メモリ、アプリケーションや DB 接続文字列等の使用中の管理者パスワードを棚卸します。パスワードの品質は、ベンダー任せにしてはなりません。そして、脆弱なパスワードを検出し、他のシステムとの影響を調査し、確実に長いパスフレーズに変更します。
棚卸リストが攻撃されないよう、管理者だけがアクセスできるメディアに長いパスフレーズを設定するか、紙で管理します。
多要素認証の採用
Windows: Windows スマートカードログオン、Windows Hello for Business の採用を検討します。
VPN 機器: VPN 機器は既定で多要素認証を必須とします。多要素認証が採用できない場合は、多要素認証がかのうな VPN 機器へのリプレースや、SoftEther などの多要素認証可能な VPN ソフトウェアへの採用を検討します。
