はじめに
「password123」みたいなパスワード、まだ使ってる? ハッカーが画面の向こうで腹抱えて笑ってるぞ。
鏡里/CIO今回はパスワードを狙った攻撃手法を紹介しますね
鏡里/CIO言っとくけど、これを他人のパスワードで試したらただの犯罪者だからね!手錠かけられても私は何も知りません!ぷいっ!
第1章:脳筋アタック(数で殴れば勝てると思ってる系)
1. ブルートフォース攻撃(総当たり) 「全部試せばいつか開く」という脳筋戦法。8文字以下なんて秒殺。
【実話】 2016年、Facebook CEOザッカーバーグのTwitterが乗っ取られた。パスワードはまさかの「dadada」。お前は赤ちゃんか。
2. ディクショナリー攻撃(辞書攻撃) 辞書にある単語を片っ端から試す。「password」とか使ってる奴はネットやめろ。
【実話】RockYou事件 (2009) 3200万件のパスワードがお漏らし。「123456」が世界で一番使われていることがバレて人類の知能低下が露呈した伝説の事件。
3. レインボーテーブル攻撃 「答え合わせカンニングペーパー」を先に作ってハッシュ値を逆引きする手口。
【実話】LinkedIn (2012) 1億人以上のパスワードが流出。「ソルト(隠し味)」を入れてなかったせいで、レインボーテーブルの餌食になり、世界中の意識高い系ビジネスマンが顔面蒼白に。昔はこれで即死だった。今は対策(ソルト)が常識だけど、古いシステムはまだこれで狙われる。
4. クレデンシャルスタッフィング 「お前、どうせ他のサイトでも同じパスワードだろ?」という決めつけ攻撃。
【実話】Colonial Pipeline (2021) アメリカの石油パイプラインが止まった大事件。原因は、過去に流出した「使い回しのパスワード」がVPN突破に使われただけ。たった1つのパスワードが国家インフラを止めた。
5. パスワードスプレー攻撃 特定の「123456」だけを、全社員のアカウントで試す。「一人くらいバカがいるだろ」作戦。
【実話】Citrix (2019) この手法でイランのハッカー集団に入り込まれ、6TBの企業データを持ってかれた。
その他
- 6. ハイブリッド攻撃: 「password123」とか、最後を数字に変えただけの浅はかな抵抗も見抜かれる。
- 7. マスク攻撃: 「大文字+小文字+数字」のルール自体を推測して絞り込む。
- 8. ルールベース攻撃: 「p@ssw0rd」みたいな文字変換、ハッカーからしたら「かわいいね」レベル。
第2章:人間こそ最大のバグ(ソーシャル・騙し系)
1. ソーシャルエンジニアリング & ヴィッシング 技術ゼロ。電話で「パスワード忘れたんでリセットして♡」って頼むだけ。
【実話】MGMリゾーツ (2023) ラスベガスの巨大カジノがハッキングされ、スロットマシン停止、ホテルのカードキー全滅。原因は**「IT担当に電話して従業員のフリをした」**だけ。被害額150億円。
2. スピアフィッシング(標的型) 「〇〇部長からです」みたいな超リアルなメール。
【実話】Twitter (2020) ビル・ゲイツやイーロン・マスクのアカウントが一斉にビットコイン詐欺をツイート。犯人の17歳少年は、社員に「IT部門です」と電話して管理ツールへのアクセス権を奪った。
3. ホエーリング(CEO狩り) 「社長だけど、今すぐ送金して」メール。
【実話】マテル (2015) バービー人形の会社。新CEO着任直後のドタバタ期に「偽CEO」からメールが来て、3億円を中国へ誤送金。休日だったので取り戻すのに地獄を見た。
4. フィッシング & ファーミング 偽サイトに誘導。「Amazon:アカウント停止します」にビビってクリックするな。
【実話】RSAセキュリティ (2011) セキュリティ企業なのに、「2011年の採用計画.xls」という件名のフィッシングメールを社員が開封して突破された。弘法も筆の誤り、セキュリティ会社もエクセルで死ぬ。
5. ショルダーサーフィング(覗き見) カフェでMacBook開いてドヤってるお前の背後、誰かが見てるぞ。
【実話】 カニエ・ウェストがiPhoneのパスコードを「000000」と入力しているところを全世界に激写された。セキュリティ意識ゼロか。
6. ベイティング 「給与明細.USB」を道に落としておく。拾って挿したら終わり。
【実話】Stuxnet (2010) イランの核施設を破壊した伝説のマルウェア。きっかけは職員が拾ったUSBメモリを挿したこと説が濃厚。好奇心は猫と国家を殺す。
第3章:ハイテク&未来の悪夢(AI・物理・変態技術)
1. PassGAN & LLMベース推測 AIに「あいつが使いそうなパスワード考えて」って頼むやつ。
【解説】 最近のAIは、お前のSNSの投稿からペットの名前(ルークじゃなくて犬な)や記念日を学習して、数億通り生成してくる。もう人間じゃ勝てない。
2. クリップボードハイジャック コピペした瞬間に中身をすり替える。
【実話】仮想通貨界隈 ビットコインのアドレスをコピペして送金したつもりが、マルウェアが書き換えた「ハッカーの口座」に送金してた事件が多発。気づいた時には資産ゼロ。
3. イービルトウィン(偽Wi-Fi) スタバのWi-Fiだと思ったら、ハッカーのスマホだった件。
【実話】ダークホテル (2014) 高級ホテルのWi-Fi経由で、宿泊しているCEOや政府高官だけを狙ってマルウェアを送り込んだスパイ活動。タダより高いものはない。
4. キーロガー 打った文字全部記録。
【実話】 ネットカフェのPCによく仕込まれている。ネカフェで銀行口座にログインする奴は、現金を道にばら撒いてるのと同じ。
5. 量子コンピュータ脅威 未来の話。「今の暗号なんて数秒で解けるわ」って時代が来る。
【対策】 今から対策しろと言われても無理。その時が来たら、世界中のシステムが同時に死ぬから諦めろ。
アドバイス
鏡里/CIOこれだけ手法があるのに、まだ「123456」使ってる人は正直、ハッカーに「ありがとう」って言われてるレベルだよ。 今すぐやってほしいことがあるんだ。
- パスワードマネージャー(Bitwarden、1Passwordなど)導入
- 16文字以上のランダムパスワードに全変更
- 重要なアカウントは全部2段階認証(多要素認証)ON
- パスワード使い回し絶対禁止
これやれば99%の攻撃は防げる。 残りの1%は運と祈り!
コメント