ブルートフォース攻撃(ブルートフォースアタック)は古典的かつ単純な手口ですが、アカウントを奪取されると、さまざまな被害をこうむる恐れがあります。ただ、対策を行えば被害にあう確率を極力抑えられます。
ここではブルートフォース攻撃の概要、またその影響や対策方法について紹介します。
また、弊社では、多くの方に情報セキュリティの最新情勢を知り、備えていただくために、今知っておくべき身近なサイバー攻撃10選を無料でご用意しております。こちらも併せてご活用ください!
ブルートフォース攻撃とは何か
ブルートフォースとは総当たりで試すことです。たとえばパスワードの文字を一つづつ変えて試していき、完全に合致する文字の組み合わせを割り出します。
他にも、利用に際し何らかの符号を必要とするもの(例:暗号読解)を、該当する符号を持たずにめくらめっぽうに総当たりで割り出して目的を果たそうとすることを指します。
各種システムに対するブルートフォース攻撃では、ログイン画面に攻撃者が知り得たアカウントIDと、任意の文字列を次々にパスワード欄に入力し、パスワードの特定と不正ログインを試みます。
これは専用のプログラムを用いるというのが通説で、昨今のコンピューター処理能力の向上により、パスワード解読の所要時間も短くなっていると指摘されています。
ブルートフォース攻撃の手口とは
単純にみえるブルートフォース攻撃にもいくつか方法があり、ブルートフォースの亜流ともいうべき手口も存在します。
単純な総当たり攻撃
原理的にはシステムやプログラミングの技術が皆無でもできるのがこの方法です。
ただ、数値の昇順や文字の辞書順に、手当たり次第に試していくのは時間がかかります。しかもパスワードの文字列が多くなり、複雑になればなるほど難易度が増していきます。
攻撃者は何らかのツールを用いて、パスワードの文字列を特定していくとみられます。
過去に解読・流出したパスワードを利用
攻撃者は徒労に終わりやすい総当たり攻撃でなく、多くの人がパスワードとしてよく利用する文字列をまとめたリスト(辞書)を用いることがあります。このリストは過去に解読されてしまったり、漏洩したパスワードを元に構成されているといいます。
攻撃者はブルートフォースと辞書攻撃を組み合わせて、より確度の高い解読を試みているのです。
リバースブルートフォース攻撃
ブルートフォース攻撃の亜流に、パスワードの代わりにIDを総当たり入力する「リバースブルートフォース攻撃」があります。この手口は多くの人が使いがちな単純なパスワードに、攻撃者が持つIDのリストを次々試して不正ログインを図るものです。
パスワードの組み合わせがかなり限られる場合、リバースブルートフォース攻撃で突破される可能性が極めて高くなります。たとえば、パスワードが数字のみで文字長が5桁しかなければ、わずか10万通りの組み合わせしかありません。2020年9月に発覚したドコモ口座事件はこれに類するものです。
ほかにも、身を守るために知っておきたいサイバー攻撃をまとめた資料はこちら。
ブルートフォース攻撃を受けた場合の影響
ブルートフォース攻撃を受けると、さまざまな悪影響が発生します。アカウントの不正使用のほか、登録情報を悪用した犯罪に発展しかねません。
アカウントのなりすまし
ブルートフォース攻撃を受け、一部でもログインに成功してしまうと、該当したアカウントが乗っ取られることになります。攻撃者が正規のユーザーになりすましてサービスを利用したり、個人情報を閲覧できてしまいます。
万一システム管理者のアカウントが奪われると、システムを乗っ取られたり、不正な行為を行う踏み台にされることもあります。
Webサービスとそれを運営する企業の信頼が大きく損なわれてしまうでしょう。
情報漏洩
ブルートフォース攻撃により不正にログインされると、何らかの情報が漏洩するとみて間違いありません。一般ユーザーのアカウントであれば、個人情報やサービスの利用履歴が漏洩するでしょう。機密データを扱える権限を持つアカウントならば、システムの重要データが流出してしまいます。
たとえばシステムのデータベースに自由にアクセス可能なアカウントだと、データベースの内容を全て抜き取られてしまう恐れがあります。
Webサイトの改ざん
ブルートフォース攻撃では、Webサイトの管理アカウントも同様に標的になります。攻撃者がサイトを手中にしたい目的はさまざまで、なかには政治的な目的で不正ログインを試み、政府機関のホームページを改ざんする事例もあります。
一般的なホームページやイベント特設サイトであれば、ページ内容を改ざんされたり、不正行為の中継地として悪用されることもあります。いずれにせよ、会社や運営事業に対する信頼が失われ、顧客基盤を毀損する深刻な事態を招きかねません。
クレジットカードや口座の不正利用
近年フィンテックに進出する企業は多く、大企業が運営する決済や金融サービスですらブルートフォース攻撃の被害にあっています。これに該当しなくても、銀行口座やクレジットカードと連携したWebサービス(例:スマホ回線)のアカウントが不正ログインにあうと、直接金銭的な損害が発生します。
記憶に新しいところでは、大手キャリアによるドコモ口座や、コンビニ大手のセブンペイの事例があります。
別サイトのアカウント乗っ取り
ブルートフォース攻撃により、特定サービスのアカウントが窃取されると、別のサービスのアカウントまでもが乗っ取りの被害にあうことがあります。IDとパスワードを複数のサービスで使いまわすケースがよくあるからです。
その結果、一つのサイトにログインを許すと複数のWebサービスに立て続けにログインされ、被害が大きくなる傾向がみられます。
こうした不正アクセスによる被害や情報漏洩については、枚挙にいとまがありません。
被害に遭わないためにも、まずは敵を知ることから始めましょう。身を守るために最初に知っておきたいサイバー攻撃をまとめた資料はこちら。
ブルートフォース攻撃の対処法
ブルートフォース攻撃は古典的で簡易な方法のため、システム設定やアカウント管理を徹底できればほぼ防ぐことができます。
海外のIPアドレスのフィルタリング
ブルートフォース攻撃をはじめ、各種のサイバー攻撃は海外から行われることが多いです。もし自社サービスが国内限定のサービスであれば、海外からのアクセスを制限すると被害にあうリスクを抑えられます。
具体的には、ファイアウォールに海外のIPアドレスをフィルタリングする設定を行います。
複雑なパスワードを設定する
政府系機関のIPAは『情報セキュリティ5か条』として、中小企業が行うべきセキュリティ対策について注意喚起しています。留意すべき5つのポイントのうち、ブルートフォース攻撃対策に有用なパスワードにつき以下を推奨しています。
- 英数字記号を含め10文字以上
- 氏名、電話番号、誕生日の個人情報を使用しない
- 簡単な英単語を使用しない
- 同じID・パスワードを他に使いまわさない
ブルートフォース攻撃対策として、パスワード作成時に文字列を長めかつ複雑にして、個人情報を含めないことが重要です。また利用するサービスごとに異なるID・パスワードを使用していれば、万一被害にあったとしても影響を最小限に抑えられます。
また、弊社では、こうしたセキュリティ対策がどれだけできているのか、さらに必要な対策は何か、簡単に確認することのできるチェックリストを無料でご用意しております。ぜひ、貴社のセキュリティ対策にお役立てください!
ログイン試行回数の制限
ブルートフォース攻撃の対策として、一定の回数以上のログイン試行にはアカウントロックを適用させるようにすると効果的です。
アカウントロックによる一時的な利用制限やユーザー通知を行うようにすれば、ブルートフォース攻撃の被害抑止につながります。
外部のWebサービスをベースにサイトやシステムを構築する場合において、特段の設定をせずともデフォルトでログイン回数の制限が適用されるサービスもあります。
ログイン端末の制限
社内システムなど利用者が限られる場合は、ログイン可能な端末を設定することでブルートフォース攻撃を回避できます。ファイアウォールに接続可能なIPアドレスを登録することでも実装可能です。
また、連続・多回数の不審なログイン試行を検知したら、アカウント所持者に確認のうえ、該当のIPアドレスからのアクセスを拒否する措置を取りましょう。
まとめ
ブルートフォースとは古典的かつ単純な手口で、文字列を一つづつ変えて解読を試すことです。現代では不正ログインを目的に多くのWebサービスやサイトが標的になっており、さまざまな悪影響を及ぼす恐れがあります。ブルートフォース攻撃の手口は単純なため、ID・パスワード管理の徹底やアクセス制限を実施することで対処が可能です。
自社システムや運営サービスを安全に利用してもらうため、随時ユーザーへの喚起と社内管理を励行し、ブルートフォース攻撃を回避していきましょう。
また、弊社では今知っておくべき身近なサイバー攻撃10選を無料でご用意しております。全項目に概要から対策・事例までついて、読むだけでセキュリティ対策になること請け負いです。ぜひ本記事と併せてご活用ください!
