辞書攻撃は単語リストを使って認証突破を狙う手口です。この記事では総当たり攻撃との違い、破られやすい条件、多要素認証の効果、SG試験で狙われるひっかけポイントと試験対策を解説します。

sg security_measures unauthorized_access threat_vulnerability access_control sg-security-measures

まず結論

  • 辞書攻撃とは、よく使われる単語やパスワードをまとめたリスト(辞書)を使って認証を突破する攻撃であり、SG試験では「ブルートフォースとの違い」と「なぜ効率が良いか」を判断させる問題として出題される。

直感的な説明

ブルートフォース攻撃は「全部試す」ですが、

辞書攻撃は 👉「当たりそうなものだけ試す」攻撃です。

例えば、

  • password
  • 123456
  • qwerty

👉 よく使われるパスワードを優先的に試します。

定義・仕組み

辞書攻撃は、

👉 あらかじめ用意された「パスワードリスト(辞書)」を使って
👉 順番に試行することで認証突破を狙う攻撃です。

なぜ効率が良いか

  • 多くのユーザが似たようなパスワードを使う
  • 総当たりより試行回数が少ない

👉 短時間で成功する可能性が高い

ブルートフォースとの違い

攻撃 特徴
ブルートフォース すべての組み合わせを試す
辞書攻撃 よく使われるものだけ試す

関連する攻撃

  • リスト型攻撃(パスワードリスト攻撃)
    → 流出したID・パスワードをそのまま使う

👉 SG試験ではこの違いが重要

どんな場面で使う?

攻撃される場面

  • Webサービスのログイン
  • 社内システム
  • パスワードが単純な環境

防ぐ場面(対策)

  • パスワードの複雑化(長さ・記号)
  • 多要素認証(MFA)
  • パスワードの使い回し禁止
  • ログイン試行の制限

SG試験での考え方

👉 「なぜ効率が良いのか?」

  • 人は単純なパスワードを使いがち
    👉 そこを狙っている

よくある誤解・混同

❌ 誤解①:ブルートフォースと同じ

👉 ⭕ 違う

  • 総当たりか
  • 優先的試行か

❌ 誤解②:パスワードが漏えいしている

👉 ⭕ 違う

  • 推測して試す攻撃

(漏えいはリスト型攻撃)

❌ 誤解③:時間がかかる攻撃

👉 ⭕ むしろ効率的

  • 少ない試行で成功しやすい

SG試験のひっかけポイント

  • 「辞書攻撃=総当たり」とする選択肢
    → ❌ 誤り

👉 正しくは

  • 優先順位をつけて試す攻撃

確認問題(SG試験対策)

次のうち、辞書攻撃の説明として最も適切なものはどれか。

A. よく使われる単語やパスワード候補をリスト化して試す攻撃である。 B. すべての文字列を順番に試す攻撃であり、候補リストは使わない。 C. 正規サイトに透明な画面を重ねてクリックを誘導する攻撃である。 D. DNSのキャッシュに偽の名前解決結果を入れる攻撃である。

▶ クリックして答えと解説を見る(ここを開く)

正解:A

解説

  • A:辞書攻撃はありがちな単語や漏えいリストを使って試行します。
  • B:これは総当たり攻撃の説明に近いです。
  • C:クリックジャッキングの説明です。
  • D:DNSキャッシュポイズニングの説明です。

👉 判断ポイント 辞書攻撃は「候補リストを使う」、総当たりは「可能な組合せを広く試す」。

まとめ(試験直前用)

  • 辞書攻撃=「よく使われるパスワードを優先して試す」
  • 総当たりより効率が良い
  • 対策は
    👉 複雑なパスワード+MFA
  • 試験では
    👉 「総当たりか効率型か」で切り分ける

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る