情報セキュリティマネジメント試験情報＆徹底解説

情報セキュリティマネジメント試験 用語辞典

(Wikipedia 辞書攻撃より)

辞書攻撃（じしょこうげき、Dictionary attack）は、主にコンピュータセキュリティ上で用いられる用語で、クラッカーが特定のコンピュータに施されたパスワードを調べたり、スパム送信者が送信先のメールアドレスを決める際に用いる手法である。

概要

辞書攻撃は、辞書に記載された単語を利用して特定文字列を推察する方法だが、以下のように幾つかの利用方法がある。

クラッカーの攻撃

辞書攻撃の辞書とは、文字通りの辞書（この場合、主に英語の）で、これに載っている単語を、パスワード等を知るために、片っ端から入力して行き、対象のコンピュータが、どのような反応を示すかを調べ、件のコンピュータに施されたパスワードを知る事ができる。なお辞書と言っても大抵はコンピュータプログラムで利用し易いよう、単語のみが羅列してあるファイルである。

この、一見すると自転車などに使う番号組み合わせ錠を外すのに、0000～9999の全ての組み合わせを試すような非常に不毛な手法は、簡単なプログラムによって自動化するのも容易なため、ウェブページ改竄を目的とした技術程度の低いクラッカーが、サーバへ侵入する時などに良く試す方法の一つである。これは時間は確実に掛かるが、完全に失敗するという事が、比較的少ない。

また文字列を決めるのに、英語辞書の単語では無く、単純に「全ての文字の組み合わせ」を試す方法もあり、こちらは総当たり攻撃（ブルートフォースアタックとも）と呼ばれ、辞書そのものを使うよりも更に時間は掛かるが、より確実に結果がでる可能性が高い。同様の手法で、書庫ファイルに施されたパスワードを調べるソフトウェアも存在する。

迷惑メールの送信

スパムを携帯電話に向けて送信するスパム送信者の場合は、メールアドレスの“＠”より前を、辞書にある単語や、文字の組み合わせを試すという方法で、メールアドレスのリストを作成し、これに向けて迷惑メールを送信する。

この方法では、ほとんどが「実在しないメールアドレス」になるとされており、実際に携帯電話会社のメールサーバが毎日扱うメールの内で8割以上は、これら辞書攻撃で作られた「宛先が存在しないため、配信されずに送信者に送り戻されるメール」だとする調査もある。また、この宛先不明の迷惑メールと見られるメールは、NTT DoCoMoの2001年の発表では、一日8億通にのぼる。これらの宛先不明メールの処理だけで、メールサーバに莫大な負荷が掛かるため、正常に相手先に届いている（ユーザー同士がやり取りしているメールを含む）1.5億通のメール遅延の要因にもなっている。

技術的問題と道義的問題

この辞書攻撃は、他人のコンピュータのパスワードを探ったり、誰かに迷惑な広告を送り付けるという実際の被害もさる事ながら、大量に送りつけられた情報を処理するのに、余計な仕事が増える関係上、標的となったコンピュータが他に行っている処理を遅らせる結果にも繋がる。

比較的良く似た攻撃（サーバへの一種の嫌がらせ）には、サーバに大量のリクエストを送り付ける事で、サーバの負荷を増大させて、全般的な機能低下や動作不良を誘発させるDoS攻撃もあるが、この辞書攻撃の方が、実質的な被害を与える事を目的として、副次的に負荷を増やしている点でより悪質といえる。

この手法は、クラッカーやスパム送信者にとって大変なデメリットがある。それは有意な結果を導き出すために、膨大な時間をサーバ接続した状態で費やす必要があるため、サーバを管理する側から（逆探知や調査をする時間もたっぷり取れるために）相手を特定され易い。また、DoS攻撃はサーバ側に対する業務妨害に繋がるため、損害賠償を求められる可能性が高いからである。

• 総当たり攻撃
• 辞書攻撃
• パスワードリスト攻撃
• レインボーテーブル
• サイドチャネル攻撃
• クロスサイトスクリプティング
• クロスサイトリクエストフォージェリ
• クリックジャッキング
• ドライブバイダウンロード
• SQLインジェクション
• ディレクトリトラバーサル
• ディレクトリリスティング
• OSコマンドインジェクション
• 中間者攻撃
• MITB攻撃
• 第三者中継
• DNSキャッシュポイズニング
• DNS水責め攻撃
• IPスプーフィング
• セッションハイジャック
• セッションID固定化攻撃
• リプレイ攻撃
• DoS攻撃
• DDoS攻撃
• EDoS攻撃
• メールボム
• 標的型攻撃
• APT
• 水飲み場型攻撃
• フィッシング
• ワンクリック詐欺
• スミッシング
• ゼロデイ攻撃
• テンペスト攻撃
• ポートスキャン
• ダウングレード攻撃
• フットプリンティング
• SEOポイズニング

• 情報セキュリティの考え方(10)
• 情報セキュリティの重要性(2)
• 脅威(23)
• 脆弱性(2)
• 不正のメカニズム(1)
• 攻撃者の種類(3)
• 攻撃の動機(1)
• サイバー攻撃手法(38)
• 暗号技術(11)
• 認証技術(5)
• 利用者認証(8)
• 生体認証技術(3)
• 公開鍵基盤(6)

• 情報セキュリティ(113)
• 情報セキュリティ管理(44)
• セキュリティ技術評価(9)
• 情報セキュリティ対策(41)
• セキュリティ実装技術(19)

このページのWikipediaよりの記事は、ウィキペディアの「辞書攻撃」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。