辞書攻撃

辞書攻撃とは、暗号解読や認証情報取得の手法の1つです。「ディクショナリ アタック」とも呼ばれます。主にパスワードを不正に入手するために用いられます。またスパム メールの宛先を自動生成するためにも使用されます。

その具体的な方法は、パスワードに使用されることの多い単語や人名を組み合わせ、繰り返しログインを試行するというものです。これと似た手法に「ブルートフォース攻撃（総当たり攻撃）」があります。ブルートフォース攻撃はパスワードに使用できるあらゆる文字列を試行するため、膨大な試行回数がかかり、時間的なロスも大きくなります。これに対して辞書攻撃は、限られた文字列を使用するため、比較的短時間でパスワードを見つけ出せるという特徴があります。

辞書攻撃用のツールや辞書は、有償または無償で配布されています。辞書の中には数千単語程度のものから、数百万単語が格納されているものまで存在します。サイト管理者はこれらのツールや辞書を用いて自分のサイトの安全性を確認することも必要です。

辞書攻撃を防止する方法としては、ユーザがサービスやシステムにパスワードを登録する際に、これらの辞書に載っている単語だけで構成されているパスワードは拒否する、という方法が考えられます。しかし使用する辞書があまりにも強力な場合には、許可されるパスワードがなかなか見つからなくなるといった問題も生じるので、注意が必要です。

なおログインIDとパスワードが同じユーザ アカウントは「ジョー（Joe） アカウント」と呼ばれており、辞書攻撃ではまず最初にこれが狙われます。そのためサービスやシステムの管理者は、最低限でも「ジョー アカウントを拒否する」という設定だけでは、行っておくべきだと言えます。