パスワードは、使いやすさとセキュリティの間で常に緊張関係にある要素です。認証を強化するための制御はしばしば複雑さを増し、その結果、ユーザーは本当に予測不能な資格情報ではなく、見慣れたパターンに頼りがちになります。実際には、これが組織固有の言葉から作られたパスワードにつながることが少なくありません。
攻撃者は以前からこの行動パターンを認識しており、今もなお悪用し続けています。人工知能や高度な推測アルゴリズムに頼るのではなく、多くの認証情報攻撃はもっと単純なことから始まります。すなわち、文脈に沿った言語を収集し、それを極めて標的化されたパスワード推測へと変換することです。
Custom Word Listジェネレーター(CeWL)などのツールは、このプロセスを追加の技術的複雑さを持ち込むことなく効率的かつ反復可能にし、ノイズと検知リスクを抑えながら成功率を大幅に高めます。
この攻撃者の振る舞いは、NIST SP 800-63Bが、サービス名、ユーザー名、およびそれらの派生語を含む文脈依存の単語をパスワードに使用しないよう明確に助言している理由の説明にもなります。しかし、そのガイダンスを徹底するには、攻撃者が現実の攻撃でこれらのワードリストをどのように組み立て、運用しているかを理解する必要があります。
この違いは重要です。なぜなら、多くの防御戦略はいまだに、パスワード推測が広範で汎用的なデータセットに依存していることを前提としているからです。
標的型ワードリストは実際どこから来るのか
CeWLは、Webサイトから単語を抽出して構造化されたリストにまとめるオープンソースのWebクローラーです。Kali LinuxやParrot OSといった広く使われているペネトレーションテスト用ディストリビューションに標準で含まれており、攻撃者と防御側の双方にとって参入障壁を下げています。
攻撃者はCeWLを使って組織の公開デジタル資産をクロールし、その組織が外部に向けてどのようにコミュニケーションしているかを反映する用語を収集します。
これには通常、会社のサービス説明、ドキュメントに現れる内部の言い回し、そして汎用的なパスワード辞書には載らない業界特有の言語が含まれます。
この手法の有効性は新規性ではなく、関連性にあります。生成されるワードリストは、ユーザーが日々の業務で目にする語彙を強く反映しており、そのためパスワードの構成に影響しやすいのです。
公開コンテンツからパスワード推測へ
CeWLは、クロールの深さや最小単語長を制御するよう設定でき、攻撃者は価値の低い結果を除外できます。この方法で収集された出力は、予測可能な変換を通じて現実的なパスワード候補を形成します。
たとえば医療機関(病院など)では、公開コンテンツから組織名、所在地への言及、提供するサービスや治療内容といった用語が露出する可能性があります。
これらの用語が単独でパスワードとして使われることは稀ですが、攻撃者はそれらを基礎となる候補集合として用い、数値の接尾辞、大文字化、記号の付加といった一般的なパターンで体系的に改変し、もっともらしいパスワード推測を生成します。
攻撃者がパスワードハッシュを入手すると(多くはサードパーティの侵害やインフォスティーラー感染によって)、Hashcatのようなツールがこれらの変異ルールを大規模に適用します。標的化された候補を数百万件生成し、侵害データに対して効率よく試行できます。
同じワードリストは、稼働中の認証サービスに対しても使用できます。この場合、攻撃者は検知やアカウントロックアウトの可能性を下げるために、スロットリング、タイミング調整、または低速・長期の推測手法に頼ることがあります。
なぜパスワード複雑性ルールは依然として失敗するのか
大きな課題の一つは、この方法で生成される多くのパスワードが標準的な複雑性要件を満たしてしまうことです。
60億件を超える漏えいパスワードに関するSpecopsの分析は、認知向上やトレーニングプログラムが整備されている場合であっても、組織がこの違いに引き続き苦慮していることを示唆しています。パスワードが組織内で馴染みのある言葉から構成されると、長さや文字種の多様性を追加しても、文脈性の高い基礎語によって不確実性が低下する影響を十分に相殺できません。
たとえばHospitalName123!のようなパスワードは、この問題をより明確に示します。既定のActive Directory複雑性要件を超えている一方で、医療環境においては依然として弱い選択です。
CeWL由来のワードリストは、公開コンテンツから収集された組織名や略称を容易に特定できるため、攻撃者は最小限かつ体系的な改変で、もっともらしいパスワードのバリエーションに到達できます。
標的型ワードリスト攻撃への防御
ワードリストベースの攻撃への露出を減らすには、複雑性だけでなくパスワードの構成そのものに対処する制御が必要です。
文脈由来および既知の漏えいパスワードをブロックする
会社名や製品名、社内プロジェクト用語、業界用語、攻撃者がよく使う置換(置き換え)など、組織固有の言語に基づくパスワードをユーザーが作成できないようにし、同時にデータ侵害ですでに出現している認証情報もブロックします。
Specops Password Policyは、カスタム除外辞書を強制でき、さらにActive Directoryを54億件超の既知の漏えいパスワードと継続的に照合してスキャンします。これによりCeWL型のワードリスト攻撃を妨害し、露出した認証情報の再利用を減らします。
最小長と複雑性を強制する
長さと予測不能性が総当たり手法に対する最良の防御となるため、少なくとも15文字のパスフレーズを必須にしてください。パスフレーズは、ユーザーに強力で長いパスワードを作成してもらうための最良の方法です。
多要素認証(MFA)を有効化する
まだであれば、ここが明らかな出発点です。Windowsログオン、VPN、RDP接続を保護できる、Specops Secure Accessのようなシンプルで効果的なMFAソリューションを検討してください。
MFAはパスワード侵害そのものを防ぐわけではありませんが、パスワードが単独の認証要素として使用されるのを防ぐことで、認証情報の露出による影響を大幅に抑えます。
現実の攻撃に合わせてパスワードポリシーを整合させる
パスワードを、静的なコンプライアンス要件ではなく能動的なセキュリティ制御として扱ってください。文脈由来、過去に露出したもの、または容易に推測されるパスワードを防ぐポリシーを強制することで、攻撃者が標的型ワードリストから得られる価値を低下させられます。また、認証情報が侵害された場合に備え、MFAは必要な第二の防衛線となります。
これらの制御を組み合わせることで、パスワード攻撃が実際にどのように発生するかを反映した、より強靭な認証戦略が形成されます。
ユーザーに不要な複雑さを加えることなく、Specopsがより強力でレジリエントなパスワードセキュリティをどのように支援できるかを知るには、当社の専門家の一人にご相談ください。
