1. たぷるとぽちっと|ITに関するお役立ち情報サイト
  2. ITお役立ち情報
  3. ブルートフォース攻撃(ブルートフォースアタック)とは?
ITお役立ち情報

公開日

更新日

ブルートフォース攻撃(ブルートフォースアタック)とは?

ブルートフォース攻撃(ブルートフォースアタック)とは?

ブルートフォース攻撃(Brute-force attack)とは、もともと暗号解読方法の一つで、サイバー攻撃においては、パスワードの考えられるすべての組み合わせを試す方法です。「ブルートフォースアタック」「総当たり攻撃」「力任せ攻撃」ともよばれます。

ブルートフォースアタックは、新しいサイバー攻撃手法ではありませんが、ほとんどの企業が一度はブルートフォース攻撃(ブルートフォースアタック)を試みられたことがあるともいわれている、身近な脅威です。
コンピューターの性能向上によりパスワード解読までにかかる時間も短縮され、サイバー攻撃者にとって都合の良い時代になりました。

本コラムでは、ブルートフォース攻撃(ブルートフォースアタック)の概要や仕組み、被害事例などをご紹介いたします。

目次

1.ブルートフォース攻撃(ブルートフォースアタック)とは

2.ブルートフォース攻撃(ブルートフォースアタック)の手法

3.リバースブルートフォース攻撃とは

4.ブルートフォース攻撃(ブルートフォースアタック)を受けた場合の影響

5.ブルートフォース攻撃(ブルートフォースアタック)に対する効果的なセキュリティ対策

6.ブルートフォース攻撃(ブルートフォースアタック)などによる被害事例

7.まとめ

ブルートフォース攻撃(ブルートフォースアタック)とは

ブルートフォース攻撃(ブルートフォースアタック)とは、もともと暗号解読方法の一つで、サイバー攻撃においては、パスワードの考えられるすべての組み合わせを試す方法です。「ブルートフォースアタック」「総当たり攻撃」「力任せ攻撃」ともよばれます。

たとえば、パスワードの指定が6桁の数字であれば、100万通りの組み合わせをすべて試すうちに、どこかで正しいパスワードに当たり、認証を突破できます。これを人の手で行っていては手間がかかるため、コンピューターに実行させることで自動化します。コンピューターの性能向上に伴い、解読にかかる時間も短縮しています。

そこで、パスワードに英字や記号を含めたり、長いパスワードを設定したりすることで、解読にかかる所要時間を延長することが可能です。

ブルートフォース攻撃で認証を破られた場合、正規のアカウント情報での不正アクセスであるため、正規のアクセスと見分けがつきにくく、不正利用がなかなか発覚しにくい点が特徴です。
また、何度もログインを試すことでサーバーに負荷がかかるため、サーバーのダウンを狙って実行されるケースもあります。

ブルートフォース攻撃(ブルートフォースアタック)の手法

ブルートフォース攻撃(ブルートフォースアタック)には、いくつかの方法があります。

総当たり攻撃

パスワードの文字を1つずつ変えてすべての組み合わせの可能性を試す方法です。
先述のように、コンピューターを使うことで省力化でき、時間制限がなければいつかは解読できますが、長いパスワードが設定されている場合は膨大な時間がかかってしまいます。
また、多くの認証ではパスワードを入力できる回数が決まっており、規定回数、間違えると、ロックがかかり、一定時間が経過するのを待つか、認証情報を変更するなどの対応を取らなければ認証を再開できません。
このため、サイバー攻撃においては、理論的には可能でも実用的ではないといえます。

パスワードリストを使った攻撃

総当たり攻撃の欠点を補ったものが、辞書攻撃との組み合わせです。
辞書攻撃とは、良く使われるパスワードを辞書のように登録しておき、クラッキング(悪意あるハッキング)に利用する方法です。

具体的には、ダークウェブなどで出回っている、実際に使われていたIDとパスワードの組み合わせが漏えいしたリストを利用します。
漏えい元とは別のシステムやサービスであっても、人間が考え付くパスワードの傾向が似ていたり、複数のサービスで同じパスワードを使いまわしている人も多いため、リストを流用すれば認証を破れるというわけです。

リバースブルートフォース攻撃とは

パスワードの組み合わせを試すのではなく、パスワードは固定しておき、IDの組み合わせをすべて試す方法もあります。これが、リバースブルートフォース攻撃です。逆総当たり攻撃、リバースブルートフォースアタックともよばれる方法です。ブルートフォース攻撃とは逆の方法であることからリバースブルートフォース攻撃という名称がついています。

ブルートフォース攻撃では、一定回数、パスワード入力を間違えるとロックされることから、この方法が考案されました。

リバースブルートフォース攻撃の仕組み

先述のように、実際に使用されているパスワードは、覚えやすさのために似たようなものを設定していたり、まったく同じものを複数のサービスで使い回している人が多かったりします。つまり、別のIDでまったく同じパスワードが使われているケースは多いのです。

このため、覚えやすい「123456」や「PASSWORD」、またキーボードの左上から右へ順に押した「QWERTY」など、特出して利用者の多いパスワードを固定し、IDの方ですべての組み合わせを試していきます。
漏えいしたIDリストを利用した辞書攻撃との組み合わせによる攻撃方法もあります。

この方法であれば、同一のIDに対して何度も別のパスワードを試すわけではないため、ロックがかかることはありません。

ブルートフォース攻撃(ブルートフォースアタック)を受けた場合の影響

実際に、ブルートフォース攻撃(ブルートフォースアタック)や、リバースブルートフォース攻撃によって認証を突破されてしまった場合、システムやWebサービスの乗っ取り、情報漏えいなどの被害が考えられます。

システムやWebサービスの乗っ取り

認証を破られてしまったシステムやWebサービスは不正アクセスされ、乗っ取られてしまう可能性があります。

たとえば、システムが乗っ取られてランサムウェアを送り込まれ、身代金を要求される恐れがあります。
また、会社のWebサイトを管理しているCMSのアカウントを乗っ取られた場合は、不正なWebサイトへ誘導するような改ざんが行われることもあります。
ほかにも、Webサービスにクレジットカード情報や銀行口座の情報が登録されていれば、勝手に送金されたり、SNSを乗っ取られた場合、別の詐欺サイトへの誘導のための投稿が行われたりする可能性があります。

情報漏えい

不正ログインされたシステムやWebサービスに蓄積された機密情報や個人情報を窃取され、漏えいしてしまう恐れもあります。

クレジットカード情報や口座情報などが漏えいすれば金銭的な被害に発展する可能性が、機密情報であれば競争力を失うことにつながります。いずれにしても顧客や従業員、取引先などに迷惑をかけることになり、企業の信用も失墜させてしまいます。

ブルートフォース攻撃(ブルートフォースアタック)に対する効果的なセキュリティ対策

ブルートフォース攻撃(ブルートフォースアタック)への対策としては、次のようなものが考えられます。

パスワード設定のルールを厳格化する

従業員にパスワードを設定させる場合は、ルールを厳格化し、ブルートフォース攻撃(ブルートフォースアタック)で突破されにくいものを使わせましょう。
たとえば、8桁以上の長さで、数字と英字(大文字と小文字)を使わせるといったことです。

また、複数のシステムやWebサービスなどで同じパスワードの使いまわしを行わないよう周知・教育する必要もあるでしょう。

アクセス制限をかける

ブルートフォース攻撃(ブルートフォースアタック)が実施されるのは、社外のIPアドレスからであることが多いため、社内ネットワークやシステム、アプリケーションへのアクセスを許可するIPを限定することである程度、防ぐことが可能です。
ただ、この方法は、社内のパソコンなどを乗っ取られてそこからブルートフォース攻撃(ブルートフォースアタック)をかけられた場合は無効です。

多要素認証を導入する

システムやWebサービスなどの認証に、IDとパスワードに加えて、パソコンやスマートフォンなどへ送信されたセキュリティコードや認証コードの入力や、指紋などの生体認証を求めることで認証のセキュリティを厳格化し、不正なアクセスを拒絶します。

ブルートフォース攻撃(ブルートフォースアタック)などによる被害事例

最後に、過去に日本において実際に確認されたブルートフォース攻撃(ブルートフォースアタック)の被害事例を2件、ご紹介いたします。

不正アクセスによりWebサイトが改ざん(日本コープ共済生活協同組合連合会)

JP共済生協の略称で知られる日本コープ共済生活協同組合連合会は、2019年11月、ブルートフォース攻撃(ブルートフォースアタック)などによるアカウント情報の流出でWebサイトに不正アクセスされ、マルウェアが設置される被害を受けました。

これを受けて同サイトは一時閉鎖。マルウェアの設置に利用されたファイル転送サービスのアクセス制御設定を変更するとともに、セキュリティ強化のためにサーバーを移行するなどの措置を取りました。
この被害による情報漏えいはなかったと公表しています。

約900人・5,500万円の不正利用が発覚(株式会社セブン・ペイ)

セブン&アイ・ホールディングスで、スマートフォン決済サービス7pay(セブン・ペイ)を提供していた株式会社セブン・ペイは、2019年7月1日のサービス開始から2日後の3日、一部のアカウントが不正アクセスを受け、不正利用があったことを発表しました。

ブルートフォース攻撃(ブルートフォースアタック)などによる不正アクセスによって、約900人のユーザーが、登録してあったクレジットカードやデビットカードから勝手にチャージされ、セブン-イレブンの店舗で不正に買い物をされたという事例で、被害総額は5,500万円にものぼりました。

7payは、IDとパスワードのみで利用できるサービスで、二段階認証を採用していなかったことに批判が集中しました。同サービスは、2019年9月30日をもってサービスを終了しました。

まとめ

ブルートフォース攻撃(ブルートフォースアタック)についての概要や仕組み、対策方法などをご紹介いたしました。

ブルートフォース攻撃(ブルートフォースアタック)は、新しい攻撃手法ではありませんが、攻撃によって認証を突破されても正規のアクセスとの見分けがつきにくく、実際に被害が出てから初めて攻撃に気づくことが多いのが特徴です。すでにほとんどの企業が攻撃を受けた経験を持っているとの調査結果もあり、気づいていない企業は単に攻撃者が失敗しただけである可能性もあります。

パスワード設定の厳格化はもちろん、多要素認証などの導入でブルートフォース攻撃(ブルートフォースアタック)の被害を防ぎましょう。

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。

ITでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談ください。

INES_logo_CTA
お問い合わせ


関連記事