パスワードの課題と攻撃者の巧妙な手口
パスワードは、その利便性とセキュリティの間で常に緊張関係にあります。認証を強化するためのコントロールは、しばしば複雑さを増し、ユーザーが予測しやすい認証情報に頼る傾向を助長します。これにより、組織内の用語から派生したパスワードが使用されることが頻繁にあります。攻撃者はこの行動パターンを長年認識し、悪用し続けています。彼らは人工知能や高度な推測アルゴリズムに頼るのではなく、よりシンプルな方法で、文脈に応じた言語を収集し、それを極めて標的を絞ったパスワード推測に変換します。
Custom Word List generators(CeWL)のようなツールは、このプロセスを効率的かつ反復可能にし、追加の技術的複雑さを伴わずに成功率を大幅に向上させ、ノイズと検出リスクを低減します。NIST SP 800-63Bがサービス名、ユーザー名、関連する派生語など、文脈固有の単語のパスワードでの使用を明示的に推奨しない理由は、この攻撃者の行動にあります。しかし、そのガイダンスを施行するには、攻撃者がどのようにこれらのワードリストを構築し、実際の攻撃で運用しているかを理解する必要があります。この区別が重要であるのは、多くの防御戦略が依然として、パスワード推測が広範で汎用的なデータセットに依存していると想定しているためです。
標的型ワードリストの生成源:CeWLの役割
CeWLは、ウェブサイトから単語を抽出し、構造化されたリストにコンパイルするオープンソースのウェブクローラーです。Kali LinuxやParrot OSなどの広く使われているペネトレーションテストディストリビューションにデフォルトで含まれており、攻撃者と防御者の両方にとって参入障壁を低くしています。攻撃者はCeWLを使用して、組織の公開されているデジタルプレゼンスをクロールし、その組織が外部とどのようにコミュニケーションしているかを反映する用語を収集します。これには通常、会社のサービス説明、文書に表面化する内部表現、および一般的なパスワード辞書には現れない業界固有の言語が含まれます。このアプローチの有効性は、目新しさではなく、その関連性にあります。結果として得られるワードリストは、ユーザーが日常業務ですでに遭遇している語彙と密接に一致するため、パスワードの構築に影響を与える可能性が高くなります。
公開情報からのパスワード推測:攻撃手法の詳細
CeWLは、クロール深度と最小単語長を制御するように設定できるため、攻撃者は価値の低い結果を除外できます。このようにして収集された出力は、予測可能な変換を通じて現実的なパスワード候補を形成します。たとえば、医療機関の場合、病院の公開されているコンテンツは、組織名、場所への言及、または提供するサービスや治療法などの用語を公開する可能性があります。これらの用語は単独でパスワードとして使用されることはめったにありませんが、攻撃者が数字の接尾辞、大文字化、または付加された記号などの一般的なパターンを使用して体系的に変更し、もっともらしいパスワード推測を生成するための基本的な候補セットとして機能します。
攻撃者がパスワードハッシュ(多くの場合、サードパーティの侵害や情報窃取マルウェア感染を通じて)を取得すると、Hashcatのようなツールがこれらの変異ルールを大規模に適用します。数百万の標的型候補を生成し、侵害されたデータに対して効率的にテストできます。同じワードリストは、ライブ認証サービスに対しても使用でき、攻撃者は検出やアカウントロックアウトの可能性を減らすために、スロットリング、タイミング、または低速な推測技術に頼ることがあります。
パスワード複雑性規則の限界:なぜ既存の対策が不十分なのか
主な課題は、このように生成された多くのパスワードが標準的な複雑性要件を満たしてしまうことです。Specopsの60億を超える侵害されたパスワードの分析によると、組織は意識向上プログラムやトレーニングプログラムが実施されている場合でも、この区別に苦しみ続けています。パスワードが馴染みのある組織内の言語から構築されている場合、追加された長さや文字の種類は、非常に文脈に依存する基本用語によって導入される不確実性の低下を補うことはほとんどありません。
「HospitalName123!」のようなパスワードは、この問題をより明確に示しています。これはデフォルトのActive Directoryの複雑性要件を超えていますが、医療環境内では依然として弱い選択肢です。CeWLから派生したワードリストは、公開されているコンテンツから収集された組織名や略語を容易に特定し、攻撃者が最小限かつ体系的な変更を通じてもっともらしいパスワードバリアントに到達することを可能にします。
標的型ワードリスト攻撃への防御
ワードリストベースの攻撃に対する露出を減らすには、複雑性だけでなく、パスワードの構築に対処するコントロールが必要です。
- 文脈から派生したパスワードと既知の侵害されたパスワードをブロックする: 企業名や製品名、内部プロジェクト用語、業界用語、一般的な攻撃者の置換など、組織固有の言語に基づいたパスワードの作成をユーザーに防止するとともに、データ侵害ですでに登場した認証情報もブロックします。Specops Password Policyは、カスタム除外辞書を適用し、Active Directoryを54億を超える既知の侵害されたパスワードに対して継続的にスキャンすることで、CeWLスタイルのワードリスト攻撃を阻止し、露出した認証情報の再利用を減らします。
- 最小限の長さと複雑性を強制する: ブルートフォース技術に対する最善の保護は、長さと予測不可能性が提供するため、少なくとも15文字のパスフレーズを要求します。パスフレーズは、ユーザーに強力で長いパスワードを作成させる最良の方法です。
- 多要素認証(MFA)を有効にする: まだ行っていない場合は、これが明らかに始めるべき場所です。Windows Logon、VPN、RDP接続を保護できるSpecops Secure Accessのようなシンプルで効果的なMFAソリューションを検討してください。MFAはパスワードの侵害を防ぐことはできませんが、パスワードが単独の認証要素として使用されるのを防ぐことで、認証情報の露出による影響を大幅に制限します。
パスワードポリシーを実際の攻撃と整合させることで、パスワードを静的なコンプライアンス要件ではなく、アクティブなセキュリティコントロールとして扱います。文脈から派生した、以前に露出した、または容易に推測できるパスワードを防ぐポリシーを施行することは、攻撃者が標的型ワードリストから得る価値を減らし、MFAは認証情報が侵害された場合に必要な第二の防御線を提供します。これらのコントロールを組み合わせることで、パスワード攻撃が実際にどのように発生するかを反映した、より回復力のある認証戦略が形成されます。