パスワードスプレー:アカウントを標的とするハッカーの新しい逆戦術

公開: 2019-04-18

ハッカーは、ブルートフォース攻撃の手法を使用してアカウントを乗っ取り、個人情報の盗難や情報の悪用を行ったり、統合された銀行口座から資金を盗んだりすることでよく知られています。 想像するのは難しいですが、これらのハッカーは何百、何千ものパスワードの組み合わせを使用して適切なパスワードを取得し、個人情報の盗難の標的となるアカウントに侵入します。 ただし、サイバー攻撃者は、アカウントを標的にして、企業レベルと個人レベルの両方でデータセキュリティを侵害する新しい戦術に出くわしました。 この手法とは何ですか?また、オンラインでのデータセキュリティとID保護にどのような危険をもたらしますか? 先読みして調べてください。

必読:ユーザーと企業向けのデータ保護のヒント

パスワードスプレー:ブルートフォースの逆転

ブルートフォースを逆転させるパスワードスプレー
画像出典:レドモンドマグ

パスワードスプレーは攻撃タイプであり、侵入者またはハッカーが複数のログインとユーザー名に対してパスワードの単一の組み合わせを試みます。 これは、対象となるユーザー名の少なくとも1つが侵入され、ユーザーの情報がさらに不正行為のために盗まれるのを確実にするために行われます。

パスワードスプレーはブルートフォースとどのように異なりますか?

パスワードスプレーはブルートフォースとは異なります
画像ソース:ThreatPost

ブルートフォースでは、攻撃者はユーザー名に対して複数のパスワードの組み合わせを試し、個人情報の盗難やオンライン強盗のアカウントを侵害します。 ただし、現在、システムは、限られた数のインスタンスで間違ったパスワードを使用してログインが試行された場合にロックダウンを開始するように設計されています。 これにより、ハッカーがセキュリティを通過して、アカウントを標的にすることから逃れることがなくなります。

ただし、ここではプロセス全体が逆になります。 攻撃者は、フィッシング攻撃またはソーシャルプロファイルの精査を通じて、複数のユーザー名の詳細を取得するようになりました。 次に、非常に一般的なパスワードの組み合わせを取得し、取得したすべてのユーザー名で実行して、少なくともそれらのいずれかを通過することを期待します。

パスワードスプレー攻撃はどのように実行されますか?

パスワードスプレー攻撃
画像ソース:Kaspersky Lab
  • まず、攻撃者はフィッシングまたはソーシャルエンジニアリングを使用して、できるだけ多くのユーザー名を取得します。 フィッシングでは、攻撃者はユーザーを悪意のあるトリックに誘い込んでユーザーデータを収集しようとします。 ソーシャルエンジニアリングでは、ハッカーは会社のWebサイト、LinkedInやTwitterなどのソーシャルメディアプラットフォーム、およびその他のポートフォリオの出版物を閲覧します。
パスワードの組み合わせ
画像出典:Luxemburger Wort
  • パスワードの組み合わせは、 「12345」などの数字の組み合わせと、パスワードに「アンダースコア(_)」「レート(@)」などの一般的な特殊文字を使用する基本的な人間の傾向に基づいて決定されます。
パスワードの組み合わせ-パスワードスプレーハッカー
画像ソース:WTSCI
  • 次に、その組み合わせがすべてのユーザー名に対して試行されます。 それらの少なくとも1つがこの戦術の餌食になり、ハッカーによる誤用や違法行為のために情報や個人情報が奪われる可能性が高いです。

企業にとっての真の脅威

企業への本当の脅威
画像出典:デジタルフォレンジックグループ

パスワードスプレーは、個人のアカウントと比較して、企業にとってより危険です。 ほとんどすべての中規模から大規模の企業では、電子メールIDとユーザー名は企業名のドメインの下にあります。 たとえば、Googleでは、すべての従業員がメールIDの後に@ google.comを付けていることになります。 ユーザー名の組み合わせも非常に一般的です(例: [email protected])。

番号シリーズと企業名
画像ソース:VooServers

このようなシナリオでは、ハッカーはおそらく、一連の番号と企業名を含むパスワードの組み合わせを試みるでしょう。 アカウントの1つでもハッキングされた場合、ハッカーはプライベートメールや共有データファイルにアクセスして他人の情報にアクセスできます。 これは、企業に従業員の情報だけでなく、機密ファイルや契約上のコミュニケーションの詳細も犠牲にすることになります。 現在、これらの詳細は、強力な財務レベルで企業に損害を与える可能性があるだけでなく、市場でのそのイメージを妨げる可能性があります。

パスワードスプレーはハッカーにとって成功していますか?

Citrix-アメリカのクラウドコンピューティングおよびネットワーキングサービスプロバイダー
画像:TechHQ

最近、アメリカのクラウドコンピューティングおよびネットワーキングサービスプロバイダー企業であるCitrix Inc.が、パスワードスプレー技術を使用してハイジャック犯に攻撃されました。 Citrixの早期発見と連邦捜査局(FBI)の介入により、重大な情報の損失から救われましたが、FBIはこの問題について特別な調査を開始し、米国内のすべての企業に警告文を発表しました。 CERTでさえ、ハッカーが使用するパスワードスプレー方法の能力に関するレポートをリリースしました。 また、FBIは、ヨーロッパと米国の36の企業が、パスワードスプレー戦術によるデータ侵害の試みに直面していると報告しています。

したがって、この手法がハッカーにとって実行可能であり、その脅威となる可能性を認識する必要があることは明らかです。

パスワードスプレーはどのように検出できますか?

パスワードスプレーが検出される
画像ソース:コレクティブ

CERTからの指示に従って、パスワードスプレーによるデータ侵害を防ぐために、最初は次の対策が役立ちます。

  • 多要素認証手段を使用して、ハッカーとアカウントの間にファイアウォールのレイヤーを追加します。
  • 複雑なパスワードを使用し、企業のITチームがパスワード設定ポリシーを確認して、パスワードのスプレーが発生しないようにします。
  • 定期的にパスワードを切り替えてください。 詳細を変更するだけでも、パスワードのスプレー違反を防ぐのに役立ちます。
  • エンタープライズアカウントへのリモートアクセスは避けてください。 リモートでアクセスできるアカウントポータルの数が限られていることを確認してください。

また読む:警戒すべきサイバーセキュリティの事実と統計

パスワードスプレーは、ブルートフォースに比べて遅い手法であり、ハッカーにとっては、データ侵害の可能性が低くなります。 ただし、パスワードスプレーを介して標的にされた複数の組織では、ハッカーはその能力を向上させるための戦術を開発する可能性があるため、これは初期段階で対処する方がよいでしょう。