「パスワードはランダムな英単語に設定しているから、簡単には破られないはずだ」
「セキュリティ用語で聞く『辞書攻撃』とは、具体的にどのような手口なのだろう」
企業の業務効率化やクラウドサービスの活用が日常ルーティンとなる中、サイバー犯罪者が常に狙っているのがシステムの「ログインアカウント」です。
認証情報をこじ開ける手法にはさまざまなフォーマットが存在しますが、人間の「覚えやすい言葉を使いたい」という心理的傾向を巧みに突くのが「辞書攻撃(ディクショナリーアタック)」です。
単語単体をパスワードにしている場合、それがどれほど難解な英単語であっても、現代のコンピューターの処理能力の前には数秒で破られてしまうリスクがあります。
本記事では、辞書攻撃の客観的な定義や具体的な手口、攻撃が成功してしまう理由、そして企業ガバナンスとして実践すべき実効性の高い防御策についてわかりやすく解説します。
1. 辞書攻撃とは?(仕組みと基本手口)
辞書攻撃(Dictionary Attack)とは、「国語辞典や英和辞典に載っている一般的な単語、あるいはよくパスワードに悪用される文字列のリスト(辞書データ)を使って、ログイン画面や暗号化されたデータに対して片端から自動入力し、認証の突破を試みる」サイバー攻撃の手口です。
ブルートフォース攻撃(総当たり攻撃)との決定的な違い
ログイン画面を狙う代表的な手口である「ブルートフォース攻撃」と「辞書攻撃」は、アプローチの効率性に大きな違いがあります。
- ブルートフォース攻撃:
aaaaaaabaaacのように、すべての文字の組み合わせをランダムに全パターン試す手法。理論上は100%突破できますが、文字数が多くなると天文学的な試行回数と時間がかかります。 - 辞書攻撃:意味のない文字の羅列は試さず、「人間がパスワードに設定しそうな実在する単語や人名、予測されやすい文字列」だけをまとめた専用のリスト(辞書)を上から順番に試す手法。
つまり、無駄な組み合わせを徹底的に省き、「当たりそうな候補だけをピンポイントで超高速入力する」のが辞書攻撃のメカニズムです。
2. 辞書攻撃で使われる「辞書」の中身と手口
攻撃者が使用する「辞書(単語リスト)」は、単なる辞書アプリのデータではありません。
サイバー犯罪用に高度に最適化・カスタマイズされたデータが使われます。
主に以下のようなカテゴリの文字列が登録されています。
- 実在する言語の単語:英語だけでなく、日本語のローマ字表記(
sakuraringoなど)を含むあらゆる言語の単語。 - 人名や地名:有名な歴史上の人物、アニメのキャラクター、世界中の都市名。
- よくあるパスワードのワーストランキング:
password123456qwertyなど、世界中で毎年発表される「漏洩しやすい脆弱なパスワード」の常連文字列。 - 数字や記号の組み合わせ(ハイブリッド攻撃):単語の末尾に
123を付けたり、アルファベットのoを数字の0に、iを記号の!に置き換えたりしたパターン(例:P@ssw0rd123など)を自動生成して試す手口。
攻撃者はこれらの膨大なリストを自動化ツール(ボット)に読み込ませ、人間の手入力では不可能なスピード(秒間数千〜数万回)でログイン画面へ流し込みます。
3. なぜ辞書攻撃は成功してしまうのか?
「実在する単語とはいえ、数万〜数十万語もある中からピタリと言い当てるのは難しいのでは?」と思われるかもしれません。
しかし、この攻撃が今なお高い成功率を誇るのには、客観的な理由があります。
理由①:人間の「記憶の限界」という脆弱性
人間は、ランダムな記号の羅列(例:h9%kL#p2)を記憶するのが苦手です。
そのため、どうしても「自分が覚えやすい好みの単語」や「推測しやすい単語の組み合わせ」をパスワードに選びがちです。
攻撃者の持つ「辞書」は、まさにその人間の心理的ルーティンを完全に先回りして作られているため、高確率でヒットしてしまいます。
理由②:自動化ツールの進化とマシンスペックの向上
現代のハッカーが使用するボットプログラムは非常にハイスペックです。
また、単にログイン画面にアタックするだけでなく、事前に不正流出した「暗号化されたパスワードハッシュ」を入手している場合、ネットワークの通信速度に制限されることなく、オフライン環境で天文学的な速度の辞書攻撃を仕掛けて解析することができます。
4. 企業が今すぐ実践したい「4つの辞書攻撃対策」
辞書に載っているような脆弱なパスワード設定を組織から排除し、システムを保護するためには、以下の技術的対策と運用ガバナンス(多層防御)の確立が必要です。
1.多要素認証(MFA)の導入:最重要の盾。
IDとパスワードの認証が成功したとしても、スマートフォンの認証アプリによるワンタイムパスワードや、指紋・顔などの「生体認証」を必須とします。
これにより、万が一辞書攻撃でパスワードが言い当てられても、ハッカーによる外部からのサインインを最後の防壁で完全にブロックできます。
2.システムによる「辞書単語」の設定禁止:ルールの最適化。
Active DirectoryやクラウドID管理ツール(IdP)のポリシー設定で、一般的な単語や社名、単純な文字列をパスワードとして登録できないよう、システム側で客観的に弾く制限(ブラックリスト機能)を有効化します。
3.「パスフレーズ」の推奨(12文字以上):文字数の強化。
単一の単語ではなく、複数の無関係な単語を組み合わせた長い文字列(例:apple-blue-sky-running などのパスフレーズ)や、英大文字・小文字・数字・記号を混在させた最低でも「12文字以上」の設定を社内で義務付けます。
これにより、辞書データの組み合わせパターン数が爆発的に増加し、攻撃を無効化できます。
4.アカウントロック機能の適合運用:アタックの妨害。
一定回数(例:5回)連続でログインに失敗した場合、そのアカウントを一時的に凍結する機能を有効にします。
ボットによる超高速な総当たり・辞書試行のルーティンを物理的に停止させるために有効です。
まとめ:単語だけのパスワードを組織から撲滅しよう
辞書攻撃は、人間の「覚えやすさに頼りたい」という心理的な弱点を突く、非常に効率的で古典的なサイバー攻撃です。
- 実在する単語やよく使われる文字列のリスト(辞書)を使い、ボットで高速に入力してくる。
- 単一の英単語や日本語のローマ字表記は、どれだけ難解であっても一瞬で破られるリスクがある。
- 最大の防御策は「多要素認証(MFA)の必須化」であり、運用面では「単語を組み合わせた長いパスフレーズの利用」や「システムでの設定制限」を徹底するガバナンスが不可欠。
自社の認証システムの設定と従業員のアカウント管理習慣を客観的に見直し、辞書攻撃の脅威から企業の機密データと社会的信用を守り抜きましょう。
情報セキュリティ研修をご検討中の方へ
当サイトでは、企業・自治体向けに以下のサービスをご提供しています。
- 研修動画パッケージ(買い切り型)
- 講師派遣による対面・オンライン研修
- 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター
動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。
料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。



はなぜ必要?社員に面倒くさがられないための説明のコツ-160x90.png)

