articleIcon-icon

記事

6 min read

パスワードクラッキング:10のツールと手法、およびセキュリティ戦略

ITデバイスの提供管理サポートサービス

Image

著者

Deel Team

最終更新日

28 5月, 2026

blog hero illustration avatar computer automation
Table of Contents

パスワードクラッカーとは

最もよくある10のパスワードクラッキング手法

ハッカーが実際に使用する6つのパスワードクラッキングツール

パスワードクラッカーから防御する方法

導入初日からデバイスを保護する

大規模組織のセキュリティを支える Deel IT

主なポイント

  1. パスワードクラッカーは、ブルートフォース攻撃、辞書攻撃、フィッシングなど、10のよくある手法を用いて認証情報を盗み出します。これらの手法を理解することが、セキュリティの第一歩となります。
  2. Hashcatのようなツールは、GPUアクセラレーションを活用して1秒間に1,000億通りのパスワードの組み合わせをテストすることができ、以前は「解読不可能」とされていたパスワードも数分で破られる可能性があります。
  3. 効果的なセキュリティには多層的な対策が必要です。強力なパスワードポリシー、多要素認証(MFA)、最新のハッシュアルゴリズム、導入初日から保護を徹底するデバイスレベルのセキュリティ制御などです。

39秒ごとに、ハッカーがシステムへの侵入を試みています。また、データ侵害の82%で、侵入の起点となっているのは漏洩したパスワードです。

多くの組織は、自社のパスワードが実際にどれほど脆弱であるか認識していません。「強力なパスワードポリシー」を適用している間にも、ハッカーは1秒間に数十億通りの組み合わせをテストできる高度なツールを使用しています。

本ガイドでは、2025年時点でハッカーが実際にパスワードを解読するために使用する10の手法と6つのツールを明らかにします。これらの攻撃がどのように機能するのか、そして安全なパスワードと数分で破られるパスワードの違いを正確に理解できます。

パスワードクラッカーとは

パスワードクラッカーとは、組み合わせを体系的に試行したり、暗号化の弱点を悪用したり、盗まれたデータを利用したりして、パスワードを復元または回避するソフトウェアのことです。セキュリティチームは、脆弱性をテストするためにこれらのツールを使用します。サイバー犯罪者も、ネットワークに侵入しデータを盗むために、まったく同じ技術を使用しています。

オンラインとオフラインのパスワード攻撃

パスワードクラッカーは主に2つの攻撃手法で動作し、それぞれに利点と限界があります。

  • オンライン攻撃は稼働中のシステムを直接標的とし、アクティブなログインページに推測されたパスワードを送信します。これは単純明快ですが、限界もあります。ほとんどのシステムでは、数回のログイン失敗後にロックアウトポリシーが適用され、攻撃は明らかなログエントリを生成します。推測のたびにサーバーとの往復通信が必要となるため、ネットワークの遅延によって処理速度が低下します。これらの攻撃は通常、1秒あたり10~1,000回の試行が上限となります。

  • オフライン攻撃ははるかに危険です。攻撃者はまず、システムの脆弱性やデータ侵害を通じてパスワードデータベースやハッシュファイルを盗み出します。データを手にすれば、警告されずに最大速度でパスワードを解読できます。CPUベースの解読を使用する場合、攻撃者は1秒あたり1万~10万回の試行を行います。GPUによる高速化を用いれば、その数は1秒あたり1,000万~1,000億回に跳ね上がります。

この速度の差は圧倒的です。オンラインでの推測では解読に10年かかるパスワードでも、攻撃者がパスワードハッシュを入手すれば、数分で解読されてしまう可能性があります。

パスワードハッシュを理解する

ほとんどのシステムは、パスワードを平文で保存しません。代わりに、パスワードハッシュを保存しています。これは、パスワードを固定の長さの文字列に変換する一方向暗号化関数の出力です:

パスワード:「Summer2024!」

MD5ハッシュ:5f4dcc3b5aa765d61d8327deb882cf99

SHA-256ハッシュ:8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92

ハッシュ関数は一方向性になるように設計されています。ハッシュを元のパスワードに逆変換することはできません。しかし、パスワードクラッカーにはその必要はありません。彼らは数百万通りのパスワード候補を生成し、それぞれをハッシュ化し、その結果を盗まれたハッシュと比較します。ハッシュが一致すれば、パスワードが見つかったことになります。

ハッシュクラッカーとパスワードクラッカー

これらの用語はしばしば混同して使われますが、微妙に違います。ハッシュクラッカーは、オフライン攻撃において特に暗号化ハッシュを標的とします。これらは、攻撃者がすでにハッシュ化されたパスワードのデータベースを入手しているシナリオ向けに最適化されています。John the RipperやHashcatのようなツールは、この種の攻撃に優れています。

パスワードクラッカーは、オンライン攻撃、パスワード回復、ハッシュクラッキングなど、パスワードを解読するために設計されたあらゆるツールを包括するより広範な用語です。実用上、適切に設計されたシステムでは平文ではなくハッシュ化されたパスワードが保存されているため、現代のパスワードクラッキングのほとんどは実際にはハッシュクラッキングにあたります。

Deel IT
130カ国以上でIT運用を自動化
機器の調達・配布・修理・回収まで、デバイス管理を一元化。24時間365日のサポートでIT運用を効率化します。

最もよくある10のパスワードクラッキング手法

現代のパスワード攻撃では、単純な推測をはるかに超えた高度な手法が用いられています。2025年に成功したパスワード侵害の大部分を占める10の手法を以下に示します。

1. ブルートフォース攻撃

ブルートフォース攻撃は、正しいパスワードが見つかるまで、考えられるすべての文字の組み合わせを体系的に試すものです。攻撃者のソフトウェアは「a」から始め「z」まで、次に「aa」、「ab」、「ac」と順に、文字、数字、記号のあらゆる組み合わせをテストしていきます。

ブルートフォースの背後にある数学的原理は、パスワードの長さが重要である理由を明らかにしています。小文字のみを使用するパスワードの場合:

  • 1文字 = 26通りの可能性
  • 2文字 = 676通り
  • 8文字 = 208,827,064,576通り

1秒間に100億回の試行が可能な最新のGPUを使用した場合:

  • 8文字のパスワード(小文字のみ):21秒
  • 8文字のパスワード(大文字・小文字・数字の組み合わせ):7時間
  • 12文字のパスワード(すべての組み合わせ):2,000年

計算コストは高いものの、ブルートフォース攻撃は最終的にパスワードを確実に解読します。この攻撃は、短いパスワードやレート制限のないシステムに対して最も効果的です。2023年には、攻撃者がブルートフォース攻撃を用いて10万件以上のアカウントを侵害しましたが、標的は主に6~8文字のパスワードでした。

2. 辞書攻撃

辞書攻撃は、ランダムな組み合わせを試すのではなく、人間の心理に基づいたありそうなパスワードのリストを使用します。人は覚えやすいパスワードを選ぶため、実際の単語、個人情報、よくあるパターンなどに基づいていることがよくあります。

攻撃者は、潜在的なパスワードの膨大なデータベースを保持しています。悪名高い「rockyou.txt」ファイルには、2009年のデータ漏洩事件から得られた1,400万件の実在するパスワードが含まれており、今日でも最もよく使われる単語リストの1つです。これらのデータベースには以下が含まれます:

  • 複数の言語における一般的な辞書単語 -「qwerty」や「asdf1234」のようなキーボード配列 -「p@ssw0rd」や「l3tm31n」のような一般的な置換
  • 日付、名前、文化的な用語
  • 過去の情報漏洩事件から得られたパスワード

このソフトウェアは各エントリをハッシュ化し、ターゲットハッシュと比較することで、数秒のうちに数百万もの推測を行います。調査によると、辞書攻撃だけでパスワードの30%が解読され、数字の追加や大文字小文字の変更といった基本的なバリエーションを組み合わせると、60%以上が解読されることが示されています。

辞書攻撃が成功するのは、パスワードの流用が広く行われているためです。ユーザーの52%が複数のアカウントでパスワードを使いまわしていると認めているため、たった1件の侵害が連鎖的に複数のシステムの侵害へとつながる可能性があります。件の侵害が連鎖的に複数のシステムの侵害へとつながる可能性があります。

3. レインボーテーブル攻撃

レインボーテーブルとは、ハッシュ値をリアルタイムで計算する必要をなくすことで、ハッシュ解読を劇的に高速化する、あらかじめ計算済みのルックアップテーブルです。攻撃の際、何百万ものパスワードを生成してハッシュ化する代わりに、攻撃者は計算作業がすでに完了している膨大なデータベースを利用します。 これらのテーブルには、数百万から数十億もの事前に計算されたパスワードとハッシュのペアが含まれています。例えば:

パスワード MD5ハッシュ
password 5f4dcc3b5aa765d61d8327deb882cf99
123456 e10adc3949ba59abbe56e057f20f883e
qwerty d8578edf8458ce06fbc5bb76a58c5ca4

攻撃者がハッシュ値を入手すると、単にテーブルでそれを検索するだけです。計算は不要です。

レインボーテーブルは膨大なサイズになることがあります。フルASCII文字を使用した8文字のパスワードの完全なレインボーテーブルは100テラバイトを超えることになりますが、チェーン短縮技術を用いて最適化されたテーブルでは、これを大幅に圧縮できます。MD5、SHA-1、NTLMなどの一般的なハッシュタイプについては、オンラインで無料のレインボーテーブルが入手可能です。

レインボーテーブルに対する主な防御策はソルトの使用です。ソルトとは、ハッシュ化の前に各パスワードに追加されるランダムなデータであり、これにより、たとえ同じパスワードを使用していたとしても、各ユーザーのハッシュは一意になります。これにより、攻撃者はソルト値ごとに新しいレインボーテーブルを生成しなければならなくなり、大規模なデータセットでは計算上現実的ではありません。bcrypt、scrypt、Argon2などの最新のパスワードハッシュアルゴリズムは、デフォルトでソルト機能を組み込んでいます。

4. マスク攻撃

マスク攻撃は、既知のパスワード作成パターンを悪用する、より標的を絞ったブルートフォース攻撃の手法です。攻撃者は、考えられるすべての組み合わせをテストする代わりに、フィルターや「マスク」を適用して検索範囲を大幅に絞り込みます。

これらの攻撃は、過去の侵害事例から認識可能なパターンを分析します。研究によると、ユーザーはしばしば、先頭に大文字、末尾に数字、そして予測可能な位置に特殊文字を含むパスワードを作成する傾向があります。

例えば、マスク攻撃では「大文字1文字+小文字6文字+数字2桁」という条件を指定し、「Password123」や「Welcome99」のようなパスワードに照合します。こうした条件を適用することで、攻撃者は一見複雑に見えるパスワードを、純粋なブルートフォース攻撃よりもはるかに速く解読できます。ブルートフォース攻撃では解読に数年かかるようなパスワードでも、効果的なマスクを使えば数分で破られる可能性があります。

この手法は、ソーシャルメディアでの予備調査を通じて標的となる組織やユーザーについて収集した情報と組み合わせると、特に危険です。

5. クレデンシャルスタッフィング

クレデンシャルスタッフィングは、パスワードの使い回しという危険な実態を悪用するものです。攻撃者は、ダークウェブで購入した、あるいはデータ侵害によって入手した侵害された認証情報を使用して、無関係な他のユーザーアカウントにログインしようとします。

従来のブルートフォース攻撃とは異なり、クレデンシャルスタッフィングはランダムな試行ではありません。既知のユーザー名とパスワードの組み合わせに依存しています。ユーザーは複数のアカウントで同じ認証情報を再利用する傾向があるため、一度漏洩したパスワードが他のアプリやウェブサイトでも使用されている可能性が高いのです。

その規模は桁外れです。Akamaiの報告によると、2020年だけで1,930億件のクレデンシャルスタッフィングをブロックしました。これらの攻撃はボットネットを用いて自動化されることが多く、攻撃者は数千のウェブサイトに対して、盗まれた数百万件の認証情報を同時に試すことができます。

金融サービス、eコマースプラットフォーム、ストリーミングサービスが主な標的となっています。クレデンシャルスタッフィング攻撃によりユーザーのメールアカウントが侵害され、そのアクセス権を利用して銀行やショッピングアカウントのパスワードがリセットされる可能性があります。たった1つのパスワードの再利用が連鎖的に広がることで、完全ななりすまし被害につながる恐れがあります。

6. パスワードスプレー

パスワードスプレーは、従来のブルートフォース攻撃の手法を逆転させたものです。単一のアカウントに対して多数のパスワードを試すのではなく、攻撃者は同じパスワードを一度に数千のアカウントに対して試します。この手法により、単一のアカウントでログイン失敗が数回続いた後に発動するアカウントロックアウト機能を回避することが可能になります。

攻撃者は通常、こうした攻撃において極めて一般的なパスワードを使用します。NordPassの年次調査によると、「123456」、「password」、「qwerty」といったパスワードが依然として根強く人気があることが明らかになっています。組織全体のユーザーベースに対してこうした高確率のパスワードを試し続けることで、攻撃者は少なくとも1つの脆弱なアカウントを見つける確率を最大化します。

パスワードスプレーは、特に企業環境に対して効果的です。攻撃者はLinkedInや企業のウェブサイトを通じて従業員のメールアドレスリストを入手し、各アカウントに対して一般的なパスワードを体系的に試します。たとえ脆弱なパスワードを使用しているアカウントが1~2%に過ぎなくても、ネットワークへの初期アクセスを得るには十分です。

7. スパイダリング

スパイダリングは、特定の組織に関する情報を収集することで、辞書攻撃をさらに標的を絞ったものへと進化させます。攻撃者は汎用的な単語リストを使用する代わりに、企業固有の情報に基づいてカスタム辞書を作成します。

予備調査フェーズには以下が含まれます:

  • ソーシャルメディアの投稿やウェブコンテンツのスクレイピング
  • 従業員ハンドブックや製品マニュアルの精査
  • マーケティング資料やスタイルガイドの分析
  • 求人情報を調査して内部プロジェクト名を特定する

攻撃者は、これらの情報を集約して専用の単語リストを作成します。「password123」のような単純なパスワードを試す代わりに、「CompanyName2024!」や「ProductCodeBlue」、「CEONameOffice」といった組み合わせを試します。従業員はパスワードに馴染みのある社内の用語を組み込むことが多いため、成功率は大幅に高くなります。

スパイダリングには事前の労力が必要であるため、通常は高価値な企業をターゲットに限定して行われます。しかし、数時間の調査で、一般的な攻撃では突破できない役員のアカウントを解読できるワードリストを作成することが可能です。

8. 中間者(MitM)攻撃

中間者攻撃は、ユーザーとシステム間の通信を傍受し、認証情報を直接解読するのではなく、送信中にキャプチャするものです。

アクティブ型MitM攻撃には、セッションハイジャックが含まれます。攻撃者はウェブトラフィックを監視し、アクティブなセッションIDを特定し、添付されたトークンを使用してアカウントに侵入します。攻撃者が傍受できるのは以下のものです:

  • ログイン認証情報
  • 認証トークン
  • 多要素認証コード(安全でない方法で送信されている場合)

パッシブ型MitM攻撃はより単純ですが、同様に効果的です。攻撃者は、「Airport_Free_WiFi」や「Starbucks_Guest」といった正当な名前を装った偽の公共Wi-Fiホットスポットを作成します。知らずに接続したユーザーは、攻撃者に自身のオンライン活動を完全に監視されることになります。暗号化されていない接続を介して送信される認証情報は、すべて平文でキャプチャされます。 HTTPSの普及により、中間者攻撃は以前より実行が難しくなりましたが、空港やカフェ、ホテルなど、ユーザーがセキュリティ警告を無視しがちな公共の場では、依然として有効な攻撃手段となっています。

9. フィッシング

フィッシング攻撃は、技術的な脆弱性の悪用ではなく、ソーシャルエンジニアリングの手法を用いて、ユーザーを騙して自発的にパスワードを共有させるものです。

フィッシングの手口

攻撃者は、銀行、IT部門、人気のあるサービスといった信頼できる組織を装い、メールやテキストメッセージを通じて説得力のあるメッセージを送信します。そのメッセージは、緊急性(「アカウントが停止されます!」)や好奇心(「セキュリティメッセージが届いています」)を煽り、即座の行動を促します。

一般的なフィッシングの手口

  • 悪意のあるソフトウェアをダウンロードさせる偽のリンク
  • 正規のログイン画面を模倣した偽サイト
  • 偽のパスワード再設定リクエスト
  • 不審な活動があったとする緊急のセキュリティ警告

ランダムフィッシングは広範囲に網を張ります。典型的な「遺産相続」詐欺は明らかに偽物に見えますが、100万通のメールを送れば、成功率がわずか0.1%でも1,000件のアカウントが侵害されることになります。

標的型フィッシング(スピアフィッシング) は、はるかに危険です。攻撃者は特定の個人を調査し、実際のプロジェクト、同僚、またはシステムに言及した説得力のあるメッセージを作成します。メールは、IT部門のパスワードリセット手順を完璧に模倣しているかもしれません。最近の調査によると、2023年には83%の組織がフィッシング攻撃の被害に遭いました。

10. マルウェア

マルウェアは最も侵襲的な手法を用い、感染したデバイスから直接パスワードを盗み出します。これらのプログラムは、フィッシングメール、侵害されたウェブサイト、悪意のあるファイル添付を通じて、気づかれないうちにインストールされます。

パスワードを標的とする主な種類は以下の3つです

スパイウェアはシステムに潜伏し、インターネット上の活動に関する情報を密かに収集します。これには以下が含まれます:

  • パスワードやPIN
  • 支払い情報
  • 閲覧履歴およびフォームデータ

これらのデータは、目立ったパフォーマンスの低下を引き起こすことなく、バックグラウンドで攻撃者に送信されます。

キーロガーはデバイスに入力されたすべてのキーストロークを記録するため、ユーザー名、パスワード、クレジットカード番号、プライベートメッセージの取得は極めて容易になります。高度なキーロガーは、パスワード入力欄を検知するとスクリーンショットを撮影できるため、画面上のキーボードによる防御も回避できます。

インフォスティーラーは、特にパスワードの保存場所を標的とします:

  • ブラウザの認証情報ストア
  • パスワードマネージャーのデータベース
  • 認証トークンおよびセッションクッキー
  • ローカルに保存された多要素認証コード

マルウェアの拡散手法はますます洗練されてきています。マルウェア・アズ・ア・サービスプラットフォームにより、経験の浅い攻撃者でさえ、高度なパスワード窃取ツールを展開できるようになっています。

Mobile Device Management
あらゆるOSでデバイスを安全に管理
どこにいても全デバイスを安全に維持。OSを問わず一元管理し、アップデート自動化、ポリシー適用、ゼロタッチ展開を実現します。
Banner asset_Deel IT Mobile Device Management

ハッカーが実際に使用する6つのパスワードクラッキングツール

セキュリティ専門家と攻撃者は、同じツールを使用しています。違いは権限と意図にあり、能力ではありません。以下に、現在実際に使用されている最も強力なパスワードクラッカー6つを紹介します。

1. John the Ripper

1996年に初めてリリースされたJohn the Ripperは、セキュリティコミュニティにおいて今なお最も定評のあるパスワードクラッカーです。これは、多くのペネトレーションテスターが真っ先に手に取るツールであり、それには十分な理由があります。無料かつオープンソースであり、主要なすべてのオペレーティングシステムで動作し、解読しようとしているハッシュアルゴリズムを自動的に検出します。

Johnが特に効果的なのは、その体系的なアプローチにあります。まず一般的なパスワードのデータベースを用いた辞書攻撃から始め、次に置換、組み合わせ、変換をテストするルールベースのバリエーションへと移行します。このツールは本質的に、人間がパスワードを作成する方法を模倣しており、「password」を試してから「P@ssw0rd」や「Password123」を試すような動作をします。

主な機能:

  • 200種類以上のアルゴリズムに対応したハッシュタイプの自動検出
  • Linux、macOS、Windows向けのコマンドラインインターフェース
  • ビルトインのワードリストとルールベースの攻撃モード
  • 無料のコミュニティ版に加え、並列処理機能を備えた商用「Pro」版

セキュリティチームも攻撃者も、同じツールを使用しています。違いは権限にあり、能力ではありません。

2. Hashcat

Hashcatは2015年のリリース時、GPUの処理能力を活用することでパスワードクラッキングを一変させました。John the RipperがCPUで1秒あたり10万件のパスワードをテストするのに対し、Hashcatはハイエンドのグラフィックカードを使用すれば1秒あたり1,000億件をテスト可能です。これはタイプミスではありません。速度差はそれほど劇的なのです。

このツールの特長は「マスク攻撃」であり、「大文字1文字+小文字6文字+数字2桁」といったパスワードのパターンを定義します。標的となる企業がまさにそのパターンを使用していると分かっている場合、HashcatはGPUの速度で考えられるすべての組み合わせを体系的にテストできます。ブルートフォース攻撃では数年かかる作業も、適切なマスクを使えば数分で完了します。

主な機能:

  • NVIDIAおよびAMD製グラフィックスカードによるGPUアクセラレーション
  • 300種類以上のハッシュアルゴリズムに対応
  • マスク攻撃、辞書攻撃、ハイブリッドを含む複数の攻撃モード
  • 複数マシンでの分散クラッキング

クラウドコンピューティングや暗号通貨マイニングリグを利用できる攻撃者は、この処理能力をさらに拡張できます。5年前には安全と思われていたパスワードでも、今日では数時間で解読されてしまう可能性があります。

3. Ophcrack

Ophcrackは、USBドライブから起動できる人なら誰でもWindowsのパスワード解読を行えるようにしました。これは、事前に計算済みのレインボーテーブルを使用したWindowsパスワードハッシュの解読に特化しています。つまり、困難な計算作業はすでに完了しているということです。ユーザーは、膨大なデータベースから答えを検索するだけです。

特に危険なのは、そのLiveCD機能です。OphcrackのUSBドライブから任意のWindowsマシンを起動するだけで、自動的にパスワードハッシュが抽出され、解読が開始されます。事前にログインする必要も、暗号技術の知識も不要です。グラフィカルインターフェースが全プロセスをガイドしてくれます。

主な機能:

  • Windows LMおよびNTLMハッシュの解読に特化
  • 最大14文字の英数字パスワード用の無料レインボーテーブル
  • 物理的アクセス攻撃用LiveCD
  • 技術的な知識が一切不要なポイント&クリック操作

朗報としては、最新のWindows(10以降)では、脆弱なLMハッシュ形式がほぼ廃止されたことです。そのため、Ophcrackの現在のシステムに対する有効性は大幅に低下しています。

4. Cain and Abel

Cain and Abelは、パスワードクラッキングの十徳ナイフとも言えるツールですが、Windows専用です。単にパスワードハッシュを解読するだけではありません。ネットワークトラフィックの傍受、中間者攻撃の実行、無線パスワードの復元、さらにはVoIP通話の録音まで行います。これは、高度な攻撃をグラフィカルインターフェースを通じて実行可能にするオールインワンツールキットです。

Cainが特に懸念される点は、攻撃の参入障壁を著しく下げる点にあります。John the Ripperのようなツールがコマンドラインの知識を必要とするのに対し、Cainはすべてをメニューやボタンで操作できます。ポイント、クリック、待機という手順で済むのです。かつては高度な技術的専門知識を必要とした攻撃を、このツールは誰でも実行可能にします。

主な機能:

  • 転送中の認証情報をキャプチャするためのネットワークパケットスニッフィング
  • 中間者攻撃用ARPポイズニング
  • 複数のハッシュ形式に対応したパスワード解析
  • 無線ネットワークのパスワード復元

ネットワークスニッフィングこそが真の脅威です。ローカルネットワーク上でCainを実行すると、FTPやHTTP、その他の非暗号化プロトコルを介して送信されるパスワードをパッシブにキャプチャします。従業員は、知らず知らずのうちに認証情報を渡している可能性があります。

5. THC Hydra

前述のオフラインハッシュクラッカーとは異なり、THC Hydraは稼働中のシステムをリアルタイムで攻撃します。これはオンラインパスワードクラッキング用に設計されており、ログインページ、SSHサーバー、データベースに対して直接認証情報を試行することを意味します。試行のたびに、実際のインフラストラクチャが攻撃を受けることになります。

Hydraの強みはプロトコルの広範なサポートにあります。ウェブアプリケーションからエンタープライズシステムに至るまで、50以上のネットワークサービスに対応しています。過去の侵害から得られたユーザー名とパスワードのリストを投入すれば、あらゆる組み合わせを体系的にテストします。並列接続機能により、複数のログイン試行を同時に実行できるため、本来なら数週間かかる作業を数時間で完了させることができます。

主な機能:

  • HTTP、SSH、FTP、RDP、データベースなど50以上のプロトコルに対応
  • 同時ログイン試行のための並列接続
  • クレデンシャルスタッフィングおよびパスワードスプレー攻撃
  • 他のペネトレーションテストツールとの統合

セキュリティチームは、攻撃者に先んじて脆弱な認証情報を特定するためにHydraを使用します。しかし、適切なレート制限やアカウントロックアウトがなければ、この同じツールを使って攻撃者が大規模にアカウントを侵害することも可能になります。

6. Aircrack-ng

Aircrack-ngが狙う攻撃対象は、WiFiネットワークという全く異なる領域です。これはワイヤレスセキュリティ評価用の包括的スイートであり、ネットワークトラフィックのキャプチャ、認証ハンドシェイクの抽出、そしてオフラインでのWiFiパスワードの解読が可能です。一度WPAハンドシェイクをキャプチャされれば、攻撃者はネットワークの近くに居続ける必要さえなく、パスワードを解読できてしまいます。

WEP暗号化は実質的に破られています。Aircrack-ngは、暗号化の仕組みのパターンを分析することで、数分でWEPキーを解読できます。WPA2ははるかに優れた保護を提供しますが、ユーザーが一般的または脆弱なパスワードを選択した場合、依然として辞書攻撃に対して脆弱です。「company-wifi-2024」のようなパスワードは、あなたが思っているほど安全ではありません。

主な機能:

  • 包括的なWi-Fiセキュリティテストスイート
  • WEPおよびWPA/WPA2-PSK暗号化の解読
  • オフライン解読のためのハンドシェイクキャプチャ
  • モニターモード対応のワイヤレスアダプターで動作

このツールは特定のハードウェア(モニターモードおよびパケットインジェクションに対応したワイヤレスアダプター)を必要とするため、効果的に利用できるユーザーは限られます。しかし、互換性のあるアダプターは容易に入手でき、安価です。

Endpoint Protection
初期設定から強固なデバイス保護
導入時から組み込まれたセキュリティでデバイスを保護。高度なサイバー脅威からリアルタイムで守り、スケーラブルなセキュリティを提供します。
Banner asset_Deel IT Endpoint protection

パスワードクラッカーから防御する方法

攻撃手法を理解することは、効果的な防御策を実装して初めて意味を持ちます。組織をパスワードクラッキング攻撃から守る方法をご紹介します。

強力なパスワードポリシーを徹底する

長さは複雑さよりも常に優れています。大文字と小文字、数字を組み合わせた12文字のパスワードは、複雑さの要件を最大限に満たした8文字のパスワードよりも高いセキュリティを提供します。

NISTのガイドラインでは以下を推奨しています:

  • ユーザーが作成するパスワードは最低8文字
  • 最適なセキュリティを確保するには、最低12文字 -「P@ssw0rd」のようなパターンを強制するような複雑さの要件は設けない
  • 過去の漏洩データベースに照合したスワードの検証
  • 定期的なパスワード変更の強制は行わない

アカウント作成時にパスワードの強度チェックを実施しましょう。zxcvbnのようなツールは、恣意的な複雑さのルールではなく、実際の解読パターンに基づいて、パスワードの解読にかかる時間を推定します。

多要素認証(MFA)を導入する

MFAはパスワードのみの認証を排除し、ユーザーが知っている情報以外の追加の認証を要求します。たとえ攻撃者がパスワードを解読したとしても、第2の認証要素がなければアカウントにアクセスすることはできません。

効果的なMFAの実装例は以下のとおりです:

  • 認証アプリによる時間ベースのワンタイムパスワード(TOTP)
  • ハードウェアセキュリティキー(WebAuthn/FIDO2)
  • 管理対象デバイスでの生体認証
  • 登録済みデバイスへのプッシュ通知

可能な限り、SMSベースのMFAは避けてください。SIMスワッピング攻撃は、電話番号を乗っ取ることでSMS認証を回避します。

最新のパスワードハッシュ化を使用する

MD5やSHA-1のようなレガシーなハッシュ関数は、数秒で解読されてしまいます。最新のアルゴリズムは、計算処理を遅くすることでパスワードの解読を困難にするよう特別に設計されています。

以下は推奨されるアルゴリズムです:

  • Argon2:パスワードハッシュコンペティションの優勝アルゴリズムで、メモリハードであり、GPU攻撃に対する耐性がある
  • bcrypt: ワークファクターを設定可能な業界標準
  • scrypt: ハードウェアアクセラレーションに耐性を持つ、メモリ集約型の設計

これらのアルゴリズムはデフォルトでソルト処理を含んでおり、ハードウェアの性能向上に合わせて計算コストを調整することが可能です。OWASPは、2025年のパスワードハッシュ化における第一候補としてArgon2idを推奨しています。

パスワードレス認証を導入する

最も効果的な防御策は、パスワードを完全に排除することです。パスワードレス認証は、ハッカーが標的とする主要な攻撃経路を排除します。

最新のパスワードレス認証オプションには以下が含まれます:

  • パスキー:デバイスに保存されるFIDO2/WebAuthn認証情報。フィッシング攻撃に耐性がある
  • マジックリンク:認証済みのメールアドレスに送信されるワンタイム認証リンク
  • 生体認証:管理対象デバイスでのFace ID、Touch ID、Windows Hello
  • ハードウェアトークン:YubiKeyのような物理的セキュリティキー

パスワードレス認証は、クレデンシャルスタッフィング、辞書攻撃、フィッシングを一挙に排除します。Microsoftの報告によると、パスワードレス導入によりアカウントの侵害が99.9%減少しました。

認証情報の漏洩を監視する

大規模な情報漏洩が発生すると、数時間以内に漏洩した認証情報がダークウェブのマーケットプレイスやペーストサイトに流出します。事前の監視を行うことで、攻撃者が悪用する前に情報漏洩を検知できます。

「Have I Been Pwned」などのサービスは、既知の侵害事例にメールアドレスやパスワードが含まれていないかを確認するためのAPIアクセスを提供しています。これらのチェックを以下に統合してください:

  • アカウント登録(既知の漏洩パスワードを拒否)
  • ログインフロー(侵害された認証情報についてユーザーに警告する)
  • 定期的なセキュリティ監査(リスクのあるアカウントの特定)

認証情報の漏洩が確認されたアカウントに対しては、パスワードのリセットを強制してください。攻撃者が盗んだ認証情報をシステムに対して試すのを待ってはいけません。

レート制限とロックアウトを実装する

レート制限はオンライン攻撃の速度を大幅に低下させます。1アカウントあたり1時間につき、ログイン失敗回数を5~10回に制限してください。閾値に達した後は、段階的な遅延または一時的なアカウントロックアウトを実施してください。

以下は高度な実装例です:

  • 分散型攻撃を検知するためのIPベースのレート制限
  • ボットトラフィックを特定するためのデバイスフィンガープリント
  • 繰り返し失敗した後のCAPTCHAによる認証
  • 試行が続くにつれてブロック時間を延長する一時的なブロック

セキュリティと利便性のバランスを取ります。試行失敗後の恒久的なロックアウトは、攻撃者が正当なユーザーを締め出すというサービス拒否(DoS)の脆弱性を生み出します。

導入初日からデバイスを保護する

分散した従業員を管理する組織にとって、デバイスのセキュリティ対策は、従業員がハードウェアを受け取る前から始まります。あらかじめ設定されたセキュリティ制御により、デバイスの電源が入った瞬間から認証情報を保護します。

モバイルデバイス管理(MDM)により、以下が保証されます:

  • デフォルトで有効化されたフルディスク暗号化
  • OSレベルでのパスワードポリシーの適用
  • セキュリティ更新プログラムとパッチの自動適用
  • 紛失または盗難に遭ったデバイスに対するリモートワイプ機能
  • 安全なアプリケーションの配布と管理

Deel ITは130カ国以上でデバイスのライフサイクル管理を提供しており、プロビジョニングプロセスにセキュリティ制御機能が組み込まれています。デバイスは、暗号化、認証要件、セキュリティポリシーが事前に設定された状態で出荷されるため、従業員がログインする前からパスワードが保護されます。

大規模組織のセキュリティを支える Deel IT

多くの組織では、ポリシーや研修を通じてパスワードのセキュリティ対策を行っています。Deel ITは、デバイスとアクセス制御を統合することで保護を徹底し、攻撃者が悪用する前にセキュリティの隙間を排除します。

Deel ITは以下の方法でセキュリティを強化します:

  • 導入初日からセキュリティを徹底:デバイスは、フルディスク暗号化、OSレベルで適用される組織定義のパスワードポリシー、プロビジョニング時に適用される必須のMFA要件が事前に設定された状態で出荷されます
  • アプリケーションへのアクセスを一元管理:単一のダッシュボードからソフトウェアスタック全体のアプリケーションアクセス権をプロビジョニングおよびデプロビジョニングし、役割の変更や離職時には自動的にアクセス権を無効化します
  • あらゆる場所のエンドポイントを保護:130カ国以上に分散するチーム全体で、マルウェア、キーロガー、ネットワークベースの脅威から守るエンドポイントセキュリティソリューションを展開します
  • 24時間365日のセキュリティインシデント対応:常時稼働のグローバルITサポートが、SLAに基づく対応時間で、タイムゾーンを跨いだパスワードのリセット、ロックアウト、セキュリティ問題に対応します
  • ライフサイクルベースのアクセス制御:従業員の入社、役職の変更、退職に合わせてアクセス制御が自動的に更新されるため、人為的ミスやインサイダーリスクを低減します
  • 一元化されたポリシー適用:パスワード、MFA、アクセスポリシーを一度定義するだけで、単一のプラットフォームからデバイス、ユーザー、地域を問わず一貫して適用できます
  • デフォルトでの安全な離職処理:従業員が退職すると、アクセス権が取り消され、認証情報が無効化され、デバイスが自動的に保護されるため、退職後の情報漏洩を防止します
  • 監査対応可能なセキュリティ可視性:デバイスの状態、アクセス変更、セキュリティアクションの記録を一元管理し、内部レビューや監査に対応します

デモを予約して、Deel ITがグローバルチームのパスワードとデバイスをどのように保護するか、ぜひご確認ください。

Image