Sony
Sony
WordPressサイトのハッキング

トピックス 2020.09.25 WordPressサイトのハッキング方法を検証! 〜導入編〜

SNSやショッピングサイト、オンラインサービスなどのアカウント乗っ取り被害は後を絶たず、インターネットを利用する人にとって無視できない脅威の1つです。

今回はアカウント乗っ取りについて、ブログやWebサイトを作る際によく使われるWordPressを例に挙げてIDとパスワードを特定して実際にハッキングを行う手法をご紹介します。

この記事では導入編として、アカウント乗っ取りの手口について説明を行っていきます。

パスワードを破るアカウントブルートフォースアタックとは?

アカウントの乗っ取りは、ユーザーのIDとパスワードが不正に特定・利用されることで発生します。

私たちが利用しているサービスのIDが何らかの手法によって攻撃者に知られてしまった場合、攻撃者はパスワードに何が設定されているかを特定しようと試みることが考えられます。

この際に用いられる代表的な手法が「ブルートフォースアタック(総当たり攻撃)」と呼ばれるものです。

「ブルートフォース(brute force)」という言葉には「強引な」とか「力ずく」という意味がありますが、これは総当たり攻撃と言われるように、使われていそうな文字の組み合わせを片っ端から試すことでパスワードを特定します。

これはとても原始的な方法ではありますが、時間を掛ければいつかは正解に辿りつく手法でもあり、パスワードの組み合わせをコンピュータで全通り試すために必要な時間については2008年に調査が行われています。    

パスワードの解読時間

パスワードの解読時間(出展:独立行政法人情報処理推進機構セキュリティセンター)

4桁の英文字だけの場合には約3秒で破られてしまう一方、大文字と小文字の区別がある英文字と数字、記号を組み合わせて桁数を増やすことで解読にかかる時間を大幅に伸ばすことができています。

終わりに

今回は、アカウント乗っ取り時に行われるブルートフォースアタックの手法についてご紹介しました。

次回の記事では、WordPressサイトを実際にハッキングする時の手口について検証を行いながら解説を行っていきたいと思います。

※次回「実践編」の記事公開は10月1日(木)を予定しております。

【関連リンク】

・WordPressサイトのハッキング方法を検証! 〜実践編〜
https://securitynews.so-net.ne.jp/topics/sec_20086.html

・WordPressサイトのハッキング方法を検証! 〜対策編〜
https://securitynews.so-net.ne.jp/topics/sec_20087.html

・検証!ランサムウェアに感染するとどうなるか?
https://securitynews.so-net.ne.jp/topics/sec_20075.html

TEXT:セキュリティ通信 編集部
PHOTO:iStock

あなたの大切なパソコン・スマホを守ります!
世界が認める総合ウイルス対策ソフト

カスペルスキー

この記事を気にいったらいいね!しよう

セキュリティ通信の最新の話題をお届けします。

ページトップ