先生と生徒の会話形式で理解しよう

生徒

「先生、最近“類推攻撃”って言葉を聞いたんですが、それってどんな攻撃なんですか？」

先生

「いい質問ですね。類推攻撃（るいすいこうげき）は、相手のパスワードや暗証番号などを推測して不正にアクセスしようとする攻撃方法のひとつです。」

生徒

「推測するってことは、誕生日とか身近な情報から当てるってことですか？」

先生

「その通りです。では、詳しく見ていきましょう！」

情報セキュリティマネジメント試験を初めて学ぶ人でも、出題ポイントを押さえて効率よく対策したい人に向けた定番テキストです。

出るとこだけ！情報セキュリティマネジメントを見る

※ Amazonアソシエイト広告リンク

1. 類推攻撃（るいすいこうげき）とは？

類推攻撃とは、攻撃対象となる「人」に関する情報から、パスワードや暗証番号を予想して不正ログインを試みるサイバー攻撃の手口です。英語では「Guessing Attack」と呼ばれ、文字通り情報を「推測（Guess）」して突破を狙います。

初心者向けの簡単なイメージ

例えば、あなたがカギをかけるとき、「覚えやすいから」という理由で自分や家族の誕生日、あるいは飼っているペットの名前を番号や単語に設定したことはありませんか？類推攻撃は、まさにその「覚えやすさ」という心理的な隙を突く攻撃です。

具体的な特徴として、以下のような「本人に関係の深いキーワード」が狙われます。

よく使われる単純な数字や単語（例：123456、password、admin）
本人や家族の生年月日、記念日、電話番号の末尾
ペットの名前、出身地、好きな芸能人やスポーツチーム
SNSのプロフィール欄や投稿内容から推測できるキーワード

この攻撃の恐ろしい点は、高度なプログラミング技術や特別なハッキングツールを持たない一般人であっても、SNSなどで公開されている断片的な情報を集めるだけで、簡単に行えてしまうことです。そのため、セキュリティの知識が少ない未経験者ほど標的にされやすく、最も身近で警戒すべき不正アクセスの手法といえます。

2. 類推攻撃に使われやすい情報の具体例

類推攻撃は、攻撃者がターゲットの「身の回りの情報」をパズルのように組み合わせて行われます。特に、本人が無意識に設定してしまいがちな、覚えやすく愛着のある情報が真っ先に狙われます。

攻撃のターゲットになりやすい情報の代表例

生年月日や記念日： 19900101、0505（こどもの日）など、数字のみの組み合わせ
氏名に関連する文字列： taro_tanaka、hanako123など、ローマ字表記の名前
連絡先の一部： 電話番号の下4桁、自宅の郵便番号、車のナンバープレート
ペットや家族の名前： choco、momoなど、SNSで公開しがちな愛犬・愛猫の名前
嗜好や活動拠点： 好きなスポーツチーム名、応援しているアイドルの名前、出身校や現住所の地名

これらの情報の多くは、SNSの自己紹介欄や過去の投稿、ブログのプロフィールなどを少し遡るだけで、誰でも簡単に入手できてしまいます。未経験の方が見落としがちなのは、「自分だけが知っているはずの情報」が、実はインターネットを通じて世界中に公開されているという点です。

攻撃者は、OSINT（オープンソース・インテリジェンス）と呼ばれる手法を使い、公開情報を収集して、あなたにとって最も推測されやすいキーワードのリストを作り上げます。そのため、自分に関連するキーワードをパスワードに含めることは、攻撃者に「どうぞログインしてください」と言っているのと同じくらい危険な行為なのです。