MENU
メルマガに登録する
資料請求

ブルートフォース攻撃とは?具体的な手口や対策方法を解説

不正アクセスの古典的な手法で、パスワードやIDを総当たりで割り出す「ブルートフォース攻撃」。

教科書に載るほど古くからあるため、改めて対策をおこなう必要を感じない人も多いのではないでしょうか。

ですが、ブルートフォース攻撃は、今も大きな脅威です。

ここ数年で発生した大きなサイバー攻撃被害の中でも、セブンペイやドコモ口座の不正アクセス事件はブルートフォース攻撃によるものです。

この記事では、現在でも危険度の高いブルートフォース攻撃について、攻撃手法の内容と具体的な対策方法を解説していきます。

ブルートフォース攻撃は、十分な対策によって防ぐことのできる攻撃であるため、セキュリティ対策への関心がとても大切です。

ブルートフォース攻撃とは

ブルートフォース攻撃は、日本語では「総当たり攻撃」とも呼ばれる、サイバー攻撃の古典的な手口です。

パスワードの割り出しや暗号解読に用いられる方法で、すべてのパターンをあてずっぽうに、総当たりで試していくという手法です。

例えば、4桁の数字で作られるパスワードから特定のものを割り出すとき、ブルートフォース攻撃は、プログラムを用いて”0000″から”9999″までの10,000パターンを順に、突破するまで試していきます。

どんなパスワードであっても、この10,000通りの中に存在するので、時間がかかったとしても、いずれパスワードを当てられる・・・という原理です。

ブルートフォース攻撃は古くからある手法ですが、近年はコンピュータの計算速度が飛躍的に発展したため、以前よりも脅威を増したと指摘されています。

ブルートフォース攻撃の手口

単純な総当たりであるブルートフォース攻撃ですが、その手口は多様化しています。

ここでは、ブルートフォース攻撃の代表的な手法を解説します。

ブルートフォース

ブルートフォースは、先にも説明したもっとも単純な手口で、全パターンをあてずっぽうに試していきます。

時間のかかる手法ですが、原理的には「いつか当たる」ため、やはり脅威ではあります。

例として、4桁の数字で表されるパスワードは全部で10,000通りありますが、仮にひとつ1秒で試すとしても、約2時間47分で全パターンを網羅できます。

実際には、コンピュータの計算速度はこれよりも速いため、さらに短い時間でパスワードが割り出されてしまいます。

長く複雑なパスワードが求められたり、パスワードの入力回数に制限があったりするのは、ブルートフォースを防ぐ目的もあります。

一方で、銀行口座のパスワードなどは、今でも4桁の数字で運用されているものも多いため、危険性が高いと言えるでしょう。

リスト型攻撃(辞書攻撃)

リスト型攻撃は、ブルートフォース攻撃がより巧妙になった手口です。

この手口では、過去に流出したパスワードや、”1234″”password”のような安易なパスワードを「パスワードリスト」にまとめ、それらを順に試していきます。

一度流出したパスワードはダークウェブ上で出回っており、それをリストに取り込むことで、より少ない手順でアカウント認証が突破されてしまいます。

なお、安易なパスワードはすでにさまざまな機関でまとめられ、使用しないよう呼びかけられています。

リバースブルートフォース

現在、ほとんどのWebシステムでは、IDとパスワードをセットにしてアカウント認証をおこないます。

この場合においてブルートフォース攻撃は、基本的に「IDは分かっているけれどパスワードが分からない」という状態から、総当たりでパスワードを割り出します。

リバースブルートフォースはこれとは逆に、パスワードリストからよく使用されるパスワードを固定しておき、IDを総当たりで割り出すことで、不正アクセスを試みます。

IDとパスワードがセットの認証でも、パスワードが限られる場合、ブルートフォースでIDを割り出すことは、そう難しくありません。

近年では、リバースブルートフォースが主流だという見方もあり、2020年に発生したドコモ口座の不正送金事件では、リバースブルートフォースが用いられたことが分かっています。

サイトによっては、
「1つのアカウントに対して、複数回ログインに失敗すると、そのアカウントをロックするような仕様」
にしている事がありますが、これらはブルートフォースの対策としては、非常に有効でした。

しかし、このリバースブルートフォース攻撃では、別のアカウントなので、ロック対象にならない可能性があり、そういったサイト側の作り次第では、より危険性が高まると考えられます。

ブルートフォース攻撃の被害例

ブルートフォース攻撃に遭ってしまうと、さまざまな被害を受けることになります。

ここでは、ブルートフォース攻撃で想定される主要な被害を紹介します。

情報漏洩

ブルートフォース攻撃は不正アクセスの手法であるため、その被害は情報漏洩とほぼイコールです。

Webサービスのアカウントに不正アクセスされた場合、IDとパスワードのセットをはじめ、住所や電話番号、口座情報など、そのサービスに登録している重要な個人情報が流出してしまいます。

企業の業務システムであれば、顧客の個人情報と社内の機密情報が漏洩します。

不正利用

不正アクセスの被害に遭うと、アカウントのなりすましや、クレジットカードの不正利用といった二次被害に発展します。

また、システム管理のアカウントがなりすまされると、本来の利用者が持つ管理者権限を用いて、システムの改竄や悪用といった重大な被害を招きます。

さらに、ひとつのIDとパスワードが割り出されると、他のサービスのアカウントまでもが乗っ取られてしまいます。

それによって被害が拡大した例は数多くあるため、パスワードの使いまわしが危険であることが分かります。

Webサイトの改竄

ブルートフォース攻撃は、Webサービスの個人アカウントや企業システムの管理アカウントだけでなく、Webサイトの管理アカウントも標的とします。

この被害に遭ってWebサイトが改竄されたという事例も数多く報告されています。

攻撃者がWebサイトを改竄する目的はさまざまで、不正な外部サイトへ誘導するものから、政治的なメッセージを掲載するものまであります。

Webサイトの改竄は、ユーザーの信用を無くすだけにとどまらず、さらなる被害に繋がる可能性がある、危険な攻撃なのです。

不正送金

数多くのキャッシュレスサービスが存在する現代では、ブルートフォース攻撃を受けたアカウントから不正送金がなされたという被害が激増しています。

不正アクセスをした第三者が、本来の利用者のアカウントを勝手に使ってネットショッピングを利用した、あるいは、不審な口座に送金されたなど、直接的な金銭被害に遭ってしまう恐れがあります。

大企業がこうした被害に遭うことも多く、2019年にはセブンアンドアイグループが提供していた決済サービス「セブンペイ」がブルートフォース攻撃を受け、不正送金による多額の被害が発生しました。

また、近年注目されている仮想通貨などは、簡単に国境を超えた送金が可能です。

そうなると、犯人の特定はより困難になるでしょう。

ブルートフォース攻撃への対策

ブルートフォース攻撃は古典的な手法ですが、コンピュータの性能の向上や日々発生する情報漏洩などによって、年々手口が洗練されています。

しかし他のサイバー攻撃とは違い、対策を徹底すれば防ぐことは難しくありません。

ここでは、ブルートフォース攻撃の被害を防ぐための、基本的な対策を解説します。

試行回数の制限

ブルートフォース攻撃は、プログラムとパスワードリストを使って、膨大な回数の試行を重ねます。

そのため、一定回数以上のログイン試行を制限することが有効です。

試行制限を超えた場合は、アカウントをロックした上で、登録されているアドレスからユーザーへ通知を送ることで、ブルートフォース攻撃を防ぐことができます。

現在では、多くのシステムで、ログイン試行回数の制限が備わっており、ブルートフォース攻撃の基本的な対策として周知されています。

ただし、前述のように、リバースブルートフォースについても別途考慮が必要となります。

IPアドレスのフィルタリング

ファイアウォールを用いて、不審なIPアドレスからのアクセスを遮断することも効果的です。

ブルートフォース攻撃の多くは、海外のサーバからおこなわれるため、国内で完結しているサービスであれば、海外からのアクセスをフィルタリングするのも対策のひとつです。

二段階認証の導入

IDとパスワードをセットにするだけでなく、SMSなどを利用した二段階認証も効果的です。

また近年では、iPhoneに搭載されたTouch IDの指紋認証をはじめ、生体認証、多要素認証によって、さらなるセキュリティ強化が図られています。

2019年に発生した「セブンペイ」の不正アクセス事件では、システムに二段階認証が導入されていなかったことが主要な原因のひとつとされています。

これとは別に、ひとつのアカウントからさまざまなサービスにアクセスするシングルサインオンもあり、大元のアカウントさえ守ることができれば、ブルートフォース攻撃による不正アクセスを防ぐことが可能です。

パスワードの強化

単純なパスワードは、リスト型攻撃やリバースブルートフォース攻撃によって簡単に突破されてしまいます。

被害を防ぐためには、パスワードを複雑なものにすることが重要です。

具体的には、アルファベットと数字を混ぜて長いパスワードを作る、誕生日や名前といった個人情報をパスワードに使わない、パスワードを使いまわさないといった対策が挙げられます。

パスワードが複雑になるほど、ブルートフォース攻撃で割り出すことが難しくなるため、被害に遭うリスクを下げられます。

現在では、Googleアカウントによるパスワード自動生成といったサービスもあり、以前よりパスワード作成・管理のコストは小さくなっています。

セキュリティシステムの導入

ブルートフォース攻撃を防ぐためには、セキュリティシステムを導入することも有効です。

不正アクセスを防止するシステムには、ログイン時の挙動やログイン端末をシステムが監視し、プログラムによるログイン試行をブロックする機能が搭載されています。

試行回数の制限や二段階認証、パスワードの強化といった基本的な対策をしたうえで、セキュリティシステムを導入することで、より強固なセキュリティ対策が実現可能です。

定期的なパスワードの更新

ブルートフォース攻撃は、長期間かけて、徐々に試していく事も考えられます。

そういった場合には、定期的にパスワードを更新することも有効な対策と言えます。

更に、複数のサイトで共通のパスワードを使わないなど、基本的なセキュリティ対策も、非常に有効です。

安全なシステム運用はAMELAに

今回は、古典的な攻撃手法である、ブルートフォース攻撃について見てきました。

古典的であるにも関わらず、現在も被害が出ているということですから、個人・企業に関わらず注意が必要でしょう。

特に企業においては、その被害は非常に大きく、会社が潰れる事になる可能性もあります。

そうならないためには、セキュリティ対策をきちんと行った上で、安全なシステム運用やシステム設計が必要になります。

AMELAでは、オフショア開発により安価に高品質なシステム開発が可能です。

他社と同等の金額で見積もった場合、かけれる人員数も多く、期間も長く開発が可能です。

その分、
・より多くのパターンでのテスト
・より高いセキュリティの仕組み
が可能になります。

「失敗してしまった」では済まされないセキュリティだからこそ、高い技術力と実績のあるAMELAに相談してみませんか?

ネットワーク・セキュリティ
インターネット安全性 サイバーセキュリティ セキュリティ対策 パスワード ブルートフォース攻撃

関連記事