Source: https://www.bleepingcomputer.com/news/security/password-guessing-without-ai-how-attackers-build-targeted-wordlists/

Original Title: Password guessing without AI: How attackers build targeted wordlists

Published (UTC): 2026-02-09T06:01:11+00:00

要旨(日本語)

・ユーザーは使い慣れた組織内の言葉からパスワードを作りがちで、攻撃者はAIに頼らず文脈言語を集めた標的型ワードリストでこれを突く。
・CeWLは公開Webをクロールして用語を抽出するOSSで、Kali LinuxやParrot OSに標準搭載、攻守双方の参入障壁を下げている。
・汎用辞書では拾えない会社固有のサービス説明・内部表現・業界用語を収集し、利用者の日常語彙に近いリストを作る点が有効性の源泉。
・NIST SP 800-63Bはサービス名やユーザー名など文脈依存語のパスワード利用を禁忌とするが、実運用での施行には攻撃者のワードリスト生成手順の理解が必須。
・CeWLはクロール深度や最小語長を調整でき、抽出語は数字のサフィックス、大小文字切替、記号付与などの規則変形で現実的候補へ拡張される。
・医療機関の例では病院名・所在地・診療内容・略語などが「種語」になり、Hashcat等で大量変形してハッシュ照合し、ライブ認証にはスロットリングやロー&スローで検知/ロックアウトを回避する。
・一般的な複雑性要件は無力になり得る。組織語彙を基にした長く記号を含むパスワードでも推測容易で、Specopsの60億超の漏えいデータ分析がこの傾向を裏付ける。
・防御策1: 組織名・製品名・プロジェクト名・業界語彙や典型的な置換を含む文脈由来パスワードと、既知漏えい済みパスワードをブロック。Specops Password Policyは「40億超のブロック辞書」や「54億超との照合でADを継続監査」と主張。
・防御策2: 最低15文字の予測困難なパスフレーズを必須化し、総当たりや規則変形に強い長さと乱雑さを優先。
・防御策3: MFAを導入(例: Specops Secure Access)し、Windowsログオン/VPN/RDPを保護。パスワード単独の価値を低下させる。
・方針: パスワードを静的なコンプライアンス項目ではなく能動的なコントロールとして扱い、文脈依存・漏えい・推測容易な候補を排除しつつMFAで二重化すると、CeWL型ワードリストの効果を低減できる。Verizon DBIRでは侵害の44.7%に資格情報窃取が関与。