辞書攻撃（dictionary Attack）

辞書攻撃（dictionary Attack）はサイバー攻撃者が特定のシステムやサービスなどにおいてログイン認証を突破するために用いられる攻撃手法の一つです。ここではその方法、想定される被害などについて紹介します。

辞書攻撃（dictionary Attack）とは？

辞書攻撃（dictionary Attack）は総当たり攻撃といわれるブルートフォースアタックの1種です。ブルートフォースアタックはあらゆる文字を機械的に試行し続けることで正解のパスワードを探し出す攻撃手法です。それに対して辞書攻撃は辞書に登録されているような意味のある文字列を組み合わせたパスワードを用いてシステムへのログインを試みるという手法であり、正解のパスワードを見つけるまであらゆる組み合わせを試し続けます。他にもスパムメールの宛先を自動生成する時にも用いられる手法です。ユーザーは忘れづらいパスワードに意味のある文字列を使うことがあるため、辞書攻撃（dictionary Attack）はそのようなユーザー心理を利用した攻撃手法であるといえます。

ブルートフォース攻撃（brute-force-attack）

パスワードリスト攻撃

辞書攻撃（dictionary Attack）からどんな被害につながる？

個人・機密情報の漏洩

利用しているサービスに不正アクセスされてしまうと、そこに登録・蓄積・保存されている情報を抜き取られてしまいます。中には機密情報を取り扱っていることもあるでしょうから、漏えいしてしまうと大きなダメージになります。

サービス・アカウントの乗っ取り

利用しているサービスのパスワードなどの情報を抜き取られてしまうと、場合によってはログイン情報を変更されてしまいます。そうなると自分のアカウントにアクセスできなくなり、乗っ取られてしまうことになります。

Webサイトの改ざん

CMSなどのWebを管理するシステムに不正アクセスをされてしまうと、Webサイトそのものを改ざんされてしまう恐れがあります。改ざんされたWebサイトは悪意のあるプログラムやスクリプトを埋め込まれることがあり、攻撃者を思わぬ形でほう助してしまうかもしれません。

クレジットカードや口座の不正利用

最近ではクレジットカードやインターネットバンキングなど、Web上で決済ができるシステムが多くなっています。これらのアカウントに不正アクセスされてしまうと、不正利用の被害に直結してしまうおそれが強いです。

他サービスへパスワードを流用し、不正アクセスがくりかえされる

さまざまなWebサービスを利用している場合、そのログイン情報を使い回すことも少なくありません。そうなると他サービスへの流用をされてしまい、複数サービスへの不正アクセスをされてしまうこともあります。

辞書攻撃（dictionary Attack）への対策

サービス運営者・システム側の対策

サービスを提供する事業者やシステム側の対策としてはログイン試行回数の制限を行うことが一般的です。何度も試行できる状態であれば攻撃者にそれだけチャンスを与えることになりますので、一定回数誤った情報を入力すると暫くログインできなくなるなどの対策が必要です。また、二段階認証やワンタイムパスワードの導入により、本人しか手に入れられない追加情報をログイン時に求めるという方法も有効です。一つのID・パスワードだけではなく複数の情報を組み合わせなければログインできないようにすることで、セキュリティ性を高めることが期待できます。

ユーザー側の対策

辞書攻撃（dictionary Attack）は意味のある単語をたくさん試行してパスワードを解析する手法ですので、そもそもパスワードを意味のある単語にしないということにより辞書攻撃（dictionary Attack）から身を守ることができる可能性があります。さらに、短いパスワードを使用していると容易に解析されてしまうおそれがありますので、一定の文字数を設定することでセキュリティ性を高めることができます。最低でも8文字以上のパスワードを設定しておくことによりそのパターン・組み合わせは非常に多くなりますので、8桁以上に設定することをおすすめします。

手法を学んで対策を練ろう

サイバー攻撃から身を守るためには、どのような手法があるのかを知っておくことが重要です。敵がどのような手法で攻めて来るのかを知っておくことで、戦略的に対策を練ることができ、いざ攻撃された時の対応もスピーディーに行えるでしょう。