< | >

オンライン攻撃でパスワードクラックは可能か?
  • (2020-07-25 10:08:25)

知人のFacebookが乗っ取られた


パスワードを破り入り込んだようだ。

犯罪者はパスワードを変更しなかったので、知人はクラッキングを知り、運良く大事になる前にパスワードを強固なものに変更できた。

そして、ログイン状態のままだった犯罪者を強制ログアウトし、切り離した。取り付いたクソを切り離すような快感だっただろう。

Facebookの情報では台湾周辺からの侵入だった。

被害は大きくなかったが、ログを見ると乗っ取られた期間は数日間。Facebookで繋がっている友人から「変なメッセージが来ている」と言われたことで発覚した。


なぜ破られたのか、わからない


破られたパスワードは、11字で、辞書攻撃で使われるよなワードは入れていないと思われるが、それでもクラックされた事実が納得できない。

11字程度では、当たりを付けた解析や総当たり解析でも、パスワードは、比較的簡単に解読されることはわかる。

しかし、それはハッシュ関数で暗号化されたパスワード・ファイルを入手したときなど「オフライン攻撃」の場合であって、オンラインでは通常何度もログインを失敗していたら攻撃と見なされ、システムにロックされるはず。

Facebookがどのような条件でロックするかわからないが、平均的なSNSサービスなら、何度も試せるものではない。

誰か手口を解説してくれてないかとネットを捜したが、見つからなかった。


リバース・ブルートフォースなら?


ただ、「リバースブルートフォースアタック (reverse brute force attack)」という手法があることを知った。これなら可能性がある。

たとえば、Facebookユーザの大量のIDリストが裏Webで出回っているとしたら、IDリストをもとに、適当なパスワードを総当たりで試すことはできる。

逆に出回っている漏洩済みのパスワードで、適当なIDを回すということもあるかもしれないし、両方とも不明ながら、24時間・365日、プログラムで地道に回し続けるというのもあるかもしれない。

Facebookが、リバース・ブルートフォース対策をシステムに実装しているという情報はない。

これではなかろうか・・


あと処理


Facebookに侵入したことで、メールアドレスとはじめ、いくつかの個人情報が盗み取られただろう。

こういう情報は、今後、犯罪者間の商品として流通するだろう。

知人にメールアドレスを破棄し作り直すことを勧めた。


<< 1TBのHDD廃棄のし方< | >ユーザー登録用メアドは、慎重に選ばないと後が痛い >>
search
layout
admin

[▲page top]