シングルサインオン製品導入GUIDE » ID管理・クラウドのセキュリティ対策コラム » レインボーテーブル攻撃のリスクと対策

レインボーテーブル攻撃のリスクと対策

公開日: |更新日:

レインボーテーブル攻撃は、ユーザーのIDやパスワードなどの情報を不正に入手するサイバー攻撃です。本記事では、レインボーテーブル攻撃のリスクや、対策方法について解説します。

レインボーテーブル攻撃のリスク

多数の個人情報が盗まれてしまう可能性がある

登録の必要があるWebサイトの場合、個人情報やID、パスワードなどの情報をサイト内で入力します。入力された情報は、サーバーのデータベースに保存しますが、そのままの状態で保存するとサイバー攻撃により悪用される恐れがあるため、データを「ハッシュ化」して保存するケースが多いです。レインボーテーブル攻撃は、そのハッシュ化されたデータを狙い、パスワードクラックを使用して解析し、データを悪用するサイバー攻撃です。データベースに格納されている情報がまるごと狙われてしまう可能性があるため、Webサイトによっては多数の個人情報が盗まれてしまいます。

精度の高いサイバー攻撃

パスワードクラックを用いたサイバー攻撃のひとつに「ブルートフォース攻撃」がありますが、ブルートフォース攻撃は解析などに時間がかかるため、セキュリティシステムなどによって不正アクセスが検知されれば成功率が下がります。対してレインボー攻撃は高速解読するツールなどが出回っていることもあり、解析の時間が短く、効率的な攻撃が可能となってしまうのです。攻撃の成功率が高い点もリスクだといえます。

レインボーテーブル攻撃の対策

データにソルト処理を行う

ソルト処理は、既存の文に文字列を追加したうえでハッシュ化する手法です。パスワードであれば、ソルト処理を行うことで解析が困難になり、パスワードを盗まれてしまうことを防げます。同じパスワードを使用していた場合も、個別にソルト処理を行うことで攻撃者側は都度解析が必要になるため、まとめてパスワードを盗まれてしまうことを防げます。

ストレッチングを行う

ストレッチングは、平文を何度もハッシュ化する手法です。ソルト処理は解析が困難ではあるものの、解析されないとは言い切れません。解析されてしまうとそこからパスワードを割り出されてしまう可能性があります。何度もハッシュ化を行うことで解析に膨大な時間がかかるため、事実上の解析が不可能です。例えばハッシュ化を数万回繰り返した場合、解析まで数10年かかるとされています。ストレッチングはサーバへの負荷が大きいため、安全性を確保できるようサーバの調節が重要になります。

シングルサインオンの活用

パスワードの安全性を確保するには、用途によってパスワードを変える、パスワードの文字列を複雑にするなどの対応が望ましいとされています。しかし、組織でさまざまなシステムを運営するうえで、パスワードが混在してしまうと業務が滞ってしまう要因となりかねません。シングルサインオンによって認証を集約し、その認証に強固なセキュリティを実装すれば、効率的かつ安全にパスワード情報を管理できます。

レインボーテーブル攻撃を対策しよう!

レインボーテーブル攻撃を防ぐための対策方法には、さまざまな手法があります。セキュリティへの理解を深め、安全にシステムを運用できる体制を整えましょう。

以下のページでは、IDやパスワードに関するセキュリティについて幅広い情報を発信しています。こちらもぜひ参考にしてください。

ID管理・クラウドのセキュリティ対策コラム

Four Selections

無料トライアル×5,000種以上のアプリ・サービスに対応
シングルサインオン(SSO)
製品で比較

2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中から、それぞれ「オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業」「今回調査を行ったクラウドシステムの中で、自社システムの導入社数実績が最も多かった企業(※編集チーム調べ)」「無料プランがあり、既存環境の変更をせずに使用できる唯一の企業」をそれぞれ選出。対応アプリ数と導入・サポート、費用で比較しました。

※横スクロールします。

オンプレミス

AccessMatrix
USO

AccessMatrixUSO
クラウド

Okta

Okta
クラウド

トラスト・ログイン

トラスト・ログイン
対応アプリ・
サービス
全てのアプリ
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
7,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
5,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
導入・
サポート
  • SEによるSSOの環境を構築!初期費⽤無料!
  • SSO対象アプリの対応可否チェック
  • 日本語でのサポート体制
  • 初回トレーニングサポート付
  • アドレス登録で無料トライアル可能
  • 2020年9月日本法人設立、サポート体制を強化
  • マクニカネットワークス株式会社の場合、ユーザー専用のサポート閲覧サービスあり
  • オプションを除いた機能を無料でお試し可能
  • 全プラン(基本・プロ)にオペレーターサポート付き
  • 日本語でのサポート体制
料金
380円/ユーザー/月額
要問合せ
一般的な利用例は、月額2ドル~
330円/ID/月額

※選定条件:2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中で.、下記の条件に当てはまるものをピックアップ。

・AccessMatrix USO
オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業

・Okta
今回調査を行った会社の中で、シングルサインオンを含む自社提供サービスを導入している会社の数が18,000社とNo.1

参照元:https://www.okta.com/jp/products/single-sign-on/

・GMOトラスト・ログイン
無料プランがあり、既存環境の変更をせずに使用できる唯一の企業