ブルートフォース攻撃(総当たり攻撃)とは?
ブルートフォース攻撃とは日本語で総当たり攻撃とも呼ばれている攻撃で、その名の通り考えられるパスワードを全て入力して、認証情報を窃取する攻撃になります。
例えば数字が4桁のパスワードであれば0~9までの10通りの数が4つなので、考えうるパスワードは10×10×10×10の1000通りとなります。
手動でやるには少し厳しい数ですが、プログラムを使って0.01秒で1通り試せるとすれば10秒で全通り試せるので簡単にパスワードを破ることができるというわけですね。
とはいえ最近では「数字4文字のパスワード」のような非常に簡単な認証方式はあまりありません。多くの場合は「8文字以上」や「英数文字を1つずつ最低含める」など、簡単すぎるパスワードは登録できないようになっていることが多いです。
そこで攻撃者も上記の例のように単純に総当たりするのではなく、工夫を重ねることでもう少し簡単にパスワードを窃取する方法を生み出しています。
ブルートフォース攻撃の一種と呼ばれる攻撃について
①辞書攻撃(パスワードリスト攻撃)
これは漏洩しているパスワードのリストを元に、ログインを試みる攻撃です。
適当にランダムな文字列を使用するのではなく、少なくとも過去に誰かが思いついて使用していたことのある文字列を使用するため、攻撃者は効率的に正しいパスワードを探すことができます。
漏洩しているパスワードはダークウェブ上で取引されたりしているようです。
同じパスワードを色々なサービスで使いまわしている人などは、一つでも漏洩してしまうとこの攻撃でやられてしまうので、注意が必要です。
ちなみに最近では自分のパスワード情報が流出しているかどうかを簡易的に調査してくれるようなサイトもあります。
気になった人は一度メールアドレスを入力して、どこかに認証情報が漏れていなか確認してみてもいいかもしれません。
Have I Been Pwned?
ぱっと見とても怪しいサイトに見えますが、内閣サイバーセキュリティセンターの公式のPDFにも記載されているサイトですので、ご安心ください。
https://security-portal.nisc.go.jp/guidance/pdf/handbook/handbook-06.pdf
②リバースブルートフォース攻撃
リバースブルートフォース攻撃とはパスワードを固定してユーザー名やメールアドレスなどに対して総当たり攻撃を行う攻撃です。
12345678やpasswordなどのよくあるパスワードでパスワードの入力を固定することが多いようです。
多くのサービスでは「10回ログインを間違えるとアカウント自体にロックがかかる」といったアカウントロックの機能があることも多いですが、リバースブルートフォース攻撃の場合アカウントを識別するログインID・メールアドレス等の方に対して総当たりをかけるので、アカウントロックされる心配もなく攻撃者にとって都合がいい方法です。
ブルートフォース攻撃の対策について
ブルートフォース攻撃の対策としてはやはり強固なパスワードを使用することに限るかと思います。
強固なパスワードについて明確な基準はありませんが
- 英数記号を含めて10文字以上にする
- 存在する英単語は使用しない
- 誕生日等から推測できる数字を使用しない
- 同じパスワードを使いまわさない
あたりをクリアしておけば、かなり強固と言えるのではないかと思われます。
また全てのサービスで利用できるわけではありませんが、可能であれば多要素認証を導入するなども非常に有効な手段になります。
コメント