オンライン攻撃でパスワードクラックは可能か?
- (2020-07-25 10:08:25)
知人のFacebookが乗っ取られた
パスワードを破り入り込んだようだ。
犯罪者はパスワードを変更しなかったので、知人はクラッキングを知り、運良く大事になる前にパスワードを強固なものに変更できた。
そして、ログイン状態のままだった犯罪者を強制ログアウトし、切り離した。取り付いたクソを切り離すような快感だっただろう。
Facebookの情報では台湾周辺からの侵入だった。
犯罪者がパスワードを変更しなかった理由は不明。多少の温情が残っていたか、もしくはハッキングされたことを知らせないためだったのか。
とにかくこの点は運が良かった。
被害は大きくなかったが、ログを見ると乗っ取られた期間は数日間。Facebookで繋がっている友人から「変なメッセージが来ている」と言われたことで発覚した。
なぜ破られたのか、わからない
破られたパスワードは11字で、辞書攻撃で使われるよなワードは入れていないと思われるが、それでもクラックされた事実が納得できない。
11字程度では当たりを付けた解析や総当たり解析でも、パスワードは比較的簡単に解読されることはわかる。
しかし、それはハッシュ関数で暗号化されたパスワード・ファイルを入手したときなど「オフライン攻撃」の場合であって、オンラインでは通常何度もログインを失敗していたら攻撃と見なされ、システムにロックされるはず。
Facebookがどのような条件でロックするかわからないが、平均的なSNSサービスなら、何度も試せるものではない。
誰か手口を解説してくれてないかとネットを捜したが、見つからなかった。
リバース・ブルートフォースなら?
ただ、「リバースブルートフォースアタック (reverse brute force attack)」という手法があることを知った。これなら可能性がある。
たとえば、Facebookユーザの大量のIDリストが裏Webで出回っているとしたら、IDリストをもとに、適当なパスワードを総当たりで試すことはできる。
逆に出回っている漏洩済みのパスワードで、適当なIDを回すということもあるかもしれないし、両方とも不明ながら、24時間・365日、プログラムで地道に回し続けるというのもあるかもしれない。
Facebookが、リバース・ブルートフォース対策をシステムに実装しているという情報はない。
これではなかろうか・・
あと処理
Facebookに侵入したことで、メールアドレスをはじめ、いくつかの個人情報が盗み取られただろう。
こういう情報は今後、犯罪者間の商品として流通するだろう。
知人にメールアドレスを破棄し作り直すことを勧めた。
<< 1TBのHDD廃棄のし方< | >ユーザー登録用メアドは慎重に選ばないと後が痛い >>