前回までに紹介したスピアフィッシング以外に、シミュレーション可能な攻撃が2種あります。
ブルートフォース パスワード攻撃とパスワードスプレー攻撃の2種です。
今回はそれぞれ動かしてみましょう。
まずはブルートフォース パスワードから。
設定の流れは前回のスピアフィッシングと同様です。名前を決めて、、、
ターゲットを設定します。注意のメッセージはなぜかスピアフィッシングのものとなっていますね。おそらくフィッシング詐欺メールは送付されません。
ブルートフォースに利用する辞書は自分で用意する仕様となっています。
自身で入力されてもいいですし、ファイルをアップロードする手法も可能なようです。
後はそのまま実行するだけです。
こちらは完了まで少し時間がかかるようです。ちゃんと時間を空けてログインを試みるという動作になっているみたいですね。
続いてパスワード スプレー攻撃。
こちらは辞書ではなく、1つのパスワードを複数のユーザーに試してみるという手法です。
ブルートフォースも複数ユーザーを選択できたので、実はこちらの機能は包含されるような気もしますね。
流れは全く同じです。
攻撃パスワードの指定は1つのみとなっています。なんでもよいので文字を入れてスタートしましょう。
それぞれ攻撃が終了すると、レポートを表示することが可能です。
前回と異なり、ログオンに成功したか否かなので特に画面が表示される形ではありませんでした。
ただ、タイミングの問題か、本日はエラーが多発していました。
コードは500なので、そのうち修正が入るものかと思います。
攻撃シミュレーターですが、ユーザーの問題意識喚起には非常に役に立ちそうな機能となっています。
これからもっとバリエーションを増やしていっていただき、システム提供側として気を付ける必要がある観点がわかるようにと調整していってもらえると大変ありがたいですね。ぜひそういった方向に舵を切ってくれることを願います!
音楽:The End of All You'll Know