辞書攻撃は、あらかじめ決められた単語のリストを使用して、ユーザーのログイン詳細またはパスワードを推測しようとする試みです。この攻撃では、事前定義された可能なオプションの「辞書」内のすべての単語を系統的に試して、ターゲット ユーザーのパスワードまたはその他の資格情報を特定しようとします。この攻撃は、最終的に正しい組み合わせが見つかるまで多くの可能な組み合わせを試すことによって機能するため、「ブルート フォース攻撃」と呼ばれることもあります。
このタイプの攻撃は通常、Web サーバーやオンライン サービスなどの認証システムにアクセスできるものの、ログインに必要な資格情報をまだ持っていない攻撃者によって使用されます。この状況では、攻撃者はユーザーのパスワードを推測しようとする可能性があります。一般的な単語やフレーズのリストを実行することによって (辞書攻撃として知られています)。
辞書攻撃は、ユーザーが容易に推測できるパスワード、または単に辞書の単語に基づいたパスワードを選択することが多いという事実を利用するように設計されています。この種のパスワードは推測されやすいため、攻撃者は成功の可能性を高めるために、アカウントに個人情報 (生年月日や住所など) が含まれるユーザーをターゲットにすることがよくあります。ただし、最新のシステムは、複雑な認証手順を実装したり、アプリケーションごとに個別のパスワードを使用したりすることで、この種の攻撃に対処できるように進化してきました。
辞書攻撃は「バッチ」コンテキストでも使用でき、パスワード候補のリストをアップロードすることで複数のユーザーのアカウントを一度に標的にすることができます。この種の攻撃は、銀行や政府機関などの組織にとってセキュリティ上の大きな懸念事項であり、そのような試みを検出し、セキュリティ侵害の可能性を防ぐために、セキュリティ手順が十分に堅牢である必要があります。
全体として、辞書攻撃は、弱い認証システムや脆弱なパスワードを悪用しようとする攻撃者によって広く使用されているツールです。このため、ユーザーは常に推測しにくい強力なパスワードを選択し、潜在的な攻撃を防ぐためにパスワードを定期的に更新する必要があります。
