ブルートフォースアタックとは?総当たりでパスワード解析をする
ブルートフォースアタックとは、悪意のある攻撃者による「力ずく」でのパスワード解析のこと。ありとあらゆる方法でパスワード解読がおこなわれるため「総当たり攻撃」とも言われます。
ブルートフォースアタックは、具体的にどんな方法で攻撃が実行されるのでしょうか。また、攻撃に対してどのような対策が必要でしょうか。
今回はブルートフォースアタックの概要、仕組み、被害事例、対策を解説していきます。
ブルートフォースアタックの概要
ブルートフォースアタックのブルートフォースには、力ずくという意味があり、パスワードを解析するために考えうるすべての方法で攻撃をしかけます。
たとえば、アルファベットを使用した4桁の単純なパスワードの場合、AAAA、AAAB、AAACといった具合に、総当たりで解析していく方法があります。攻撃者が手入力で解析する手法では時間がかかりますが、実際にはブルートフォースアタック用にプログラムされたコンピュータが使用されて検索が行われています。
ブルートフォースアタックを困難にするために日常生活でも企業からウェブ上のパスワード変更を定期的に変更するように啓蒙する表示をよく見るはずです。パスワードの文字数を長くしたり、大文字・小文字、英字、数字、記号などの使用指定は、ブルートフォースアタックからの攻撃に対抗するための手段と言えるでしょう。
また、指定された回数以上のパスワード入力エラーが発生するとログインできなくなる仕組みや、パスワードを連続して間違って入力すると、一定期間たたないと再入力できない仕組みもみられます。
ブルートフォースアタックの仕組み
ブルートフォースアタックの最初のステップでは、攻撃対象の暗号化されたパスワードファイルを事前に取得しておきます。ログインはアカウント情報(ID)とパスワードを入力してシステムに入りますが、攻撃者がアカウント情報(ID)を入手できていれば、パスワード解析のためのブルートフォースアタックをかけることになります。
ブルートフォースアタックでは、パスワードを解析するために考えうるすべての方法で攻撃仕掛けてきます。ここではブルートフォースアタックのしくみをいくつか紹介します。
パスワード総当たり
ブルートフォースアタックのベースになるのは、ブルートフォースアタック用に作られたシステムを使用したパスワード総当たりによるすべての組み合わせのログイン試行です。
辞書攻撃
辞書攻撃とはパスワードとして使用されやすいパスワード群を活用するブルートフォースアタックです。連続する数字や連続するアルファベット、名前、生年月日などのパスワードに使用は避けることが望ましいですが、現実的には単純で法則的なパスワードが使用されていることが多いため、辞書攻撃がブルートフォースアタックに使われるケースがみられます。
リバースフォースアタック
ブルートフォースアタックでは、攻撃者がアカウント情報(ID)を入手し、パスワード解析を行います。一方パスワードを入手した場合、パスワードを固定して、アカウント情報(ID)の解析を実行します。この攻撃方法をリバースフォースアタックといいます。
ブルートフォースアタックの組合せ攻撃
ブルートフォースアタックは、悪意のあるプロフェッショナルな攻撃者がシステムを使いありとあらゆる方法で実行されます。前述のパスワード総当たりや辞書攻撃などは単独でなく組合せで攻撃がおこなわれます。
ブルートフォースアタックに対抗して企業が考えた防止策を突破する攻撃が実行される可能性もありますので、最新の情報を入手することが大切です。
ブルートフォースアタックの被害事例
ブルートフォースアタックが成功すると悪意のある攻撃者がシステムにログインしてしまいますので、多くの被害が起こります。
金銭的被害
出金や入金など、金銭に関わるシステムでブルートフォースアタックが成功した事例では、不正出金・送金などの金銭的な被害がでています。
情報漏洩
ブルートフォースアタックによる不正なログインによって企業情報や個人情報などの重要な情報が漏洩する被害がでています。
アカウントのなりすまし
ブルートフォースアタックによる不正なログインによってアカウントが乗っ取られ、なりすましによるサービス利用、情報閲覧、サイバー攻撃の踏み台とされる被害がでています。
サイトの改ざん・乗っ取り
ブルートフォースアタックによって企業のWebサイトのシステムにログインされることでサイトの改ざんや乗っ取り被害がでています。また、複数のサイトで同一のパスワードを使用していたケースではサイト乗っ取り被害が複数のサイトに広がった事例がみられます。
ブルートフォースアタックの対策
ブルートフォースアタックの対策では、解析されやすい単純なパスワードの使用を避け、複雑なパスワードを使用することが重要です。また、パスワード変更を定期的におこないます。一定回数のログインエラーが発生した場合ロックされるように設定するようにします。重要なシステムについてはログインできる端末を制限し厳格に管理する必要があります。
ブルートフォースアタックでは、ボットを使って何度もログイン試行を繰り返しますので、キャプチャ(CAPCHA)画像認証を導入してボットの攻撃をブロックするのも良いでしょう。
また、WAFなどのセキュリティサービスの導入も画像認証などの対策と合わせてお勧めです。自立型AIセキュリティクラウドサービス CyberNEOを活用してWAFでセキュリティ対策を検討しはいかがでしょうか。
まとめ
ブルートフォースアタックの概要、仕組み、被害事例、対策をまとめました。ブルートフォースアタックによって重大な被害が発生する可能性がありますので、パスワード管理は適切に行い必要な対策を実施していくことが大切です。また、サイバー攻撃は日々巧妙化していますので、最新の状況や事例についての情報を掴んでおく必要があります。