パスワードクラックとは、他人のパスワードを不正に解析・推測し、アカウントに侵入するサイバー攻撃のことです。一見ハッカーによる特殊な攻撃のように思えますが、実際には基本的なセキュリティ対策を怠るだけで、誰でも被害に遭う可能性があります。
この記事では、パスワードクラックの概要とともに、実際に世界で起きた企業の重大被害事例を紹介します。
パスワードクラックとは?
パスワードクラックは、特定のアカウントやシステムに不正にログインするために、パスワードを解析・推測する攻撃手法です。代表的な方法には以下のようなものがあります。
多くの攻撃は、「簡単すぎるパスワード」「使い回し」といったユーザー側の対策不足を突いて行われます。
実際にあった!パスワードクラックによる企業の被害事例3選
ここでは過去に実際にあったパスワードクラックによる被害を3つ紹介します。
① 富士通「ProjectWEB」:国家機密が外部に流出(2021年・日本)
富士通が提供していた情報共有ツール「ProjectWEB」が、何者かによって正規のアカウントで不正ログインされ、政府機関など129組織の機密情報が外部に流出しました。
▶ 被害内容
▶ 攻撃手法と背景
② Colonial Pipeline社:燃料供給がストップしたサイバー攻撃(2021年・アメリカ)
アメリカ最大の石油パイプライン運営会社「Colonial Pipeline」が、旧式のVPNアカウントへの不正アクセスによりランサムウェア攻撃を受けました。
パスワードクラックにより社内ネットワークへの侵入を許し、全米東部の燃料供給が止まるという異例の事態に。
▶ 被害内容
▶ 攻撃手法と背景
③ カナダ歳入庁(CRA):納税者アカウントが大量に乗っ取られる(2020年・カナダ)
カナダ政府の税務機関「CRA」では、他サービスから流出したIDとパスワードを悪用したパスワードリスト攻撃(クレデンシャルスタッフィング)が発生。
複数の国民の納税者アカウントが乗っ取られるという深刻な被害に。
▶ 被害内容
▶ 攻撃手法と背景
パスワードクラックを防ぐには?今すぐできる3つの対策
では、パスワードクラックによる被害を防ぐにはどのような対策を行うとよいのでしょうか。ここではおすすめの方法を3つ紹介します。
強力で推測されにくいパスワードを設定する
多くの攻撃者は「123456」「password」など、ありがちなパスワードを最初に試します。誕生日や名前のような予測しやすいパスワードでは、攻撃にすぐ突破されてしまう可能性があります。
推奨される組み合わせは以下のとおりです。
- 8文字以上、できれば12文字以上にする
- 英大文字・小文字・数字・記号をすべて含める
- 覚えにくい場合は、フレーズ形式(例:I_love_Coffee_2025!)がおすすめ
パスワードの使い回しをやめ、サービスごとに別のパスワードを使う
「1つのパスワードをすべてのサイトで使う」ことは、1つ漏れただけで他のサービスも乗っ取られるという危険を意味します。これはパスワードリスト攻撃(クレデンシャルスタッフィング)の典型的な標的になります。
おすすめの対策としては以下のポイントがあります。
- 各サービスに別々のパスワードを使う
- パスワードを覚えきれない場合は、パスワード管理ツール(マネージャー)の活用がおすすめ(例:1Password、Bitwarden、iCloudキーチェーンなど)
多要素認証(MFA)を必ず設定する
パスワードだけでログインできる状態では、万が一パスワードが漏れたときに防ぎようがありません。
そこで役立つのが多要素認証(Multi-Factor Authentication / MFA)です。
▶ 多要素認証とは?
ログイン時に「パスワード」に加えて、「スマホ通知」や「認証コード」などもう1つの要素を求める仕組みです。
これにより、パスワードが漏れても第三者はログインできません。
▶ 導入例
多要素認証が使われている例として、以下のようなものがあります。
▼ 内閣サイバーセキュリティセンター(NISC)からも推奨されています🔗
まとめ
上記のように、パスワードクラックによる攻撃は企業の規模や国を問わず、重大な被害をもたらしています。しかし、どの事例も以下のような基本的な対策を講じていれば防げた可能性があります。
サイバー攻撃は、特別な知識がなくても被害に遭う時代です。今すぐパスワード管理を見直して、自分と組織を守りましょう。
コメント