ブルートフォース攻撃とは何か徹底解説!仕組みやリスク、有効なセキュリティ対策を紹介
ブルートフォース攻撃の対策はネットワークを活用する時代になって必要性が高まっています。この記事ではブルートフォース攻撃とは何かを事例も含めて詳しく紹介した上で、セキュリティリスク対策の方法を解説します。
目次
ブルートフォース攻撃(ブルートフォースアタック)とは何か?
ブルートフォース攻撃(Brute-force attack)とは、ログインや個人認証に用いられるパスワードを不正入手するために網羅的に解読する方法です。力業によって一致するパスワードを見つけ出します。
ブルートフォース攻撃の特徴
ブルートフォース攻撃の特徴は網羅性を重視してパスワードを見つけ出すことです。総当たり攻撃や辞書攻撃が代表的な手法で、特に根拠もなく可能性があるパスワードを試してみるのが特徴です。例えば、6桁の数字のパスワードなら100万通りの数字の組み合わせがあります。機械的にすべてのパターンを入力すれば正解にたどり着くことが可能です。さらにAIなどを活用して可能性の高いパターンから探し出していく手法も用いられています。
ブルートフォース攻撃の主な手法
ブルートフォース攻撃の手法は大きく分けると2つあります。総当たり攻撃、辞書攻撃の2つについてどのような手法なのかを紹介します。
①総当たり攻撃
総当たり攻撃とはあらゆる可能性を考えてパスワードのパターンを作り、入力して確認していく力業の手法です。数字4桁のパスワードなら1万通りだけなので機械処理をすればわずかな時間でチェックできます。6桁あったとしても100万通りで、100倍の時間はかかりますが、時間の問題で最終的にはパスワードに到達可能です。
ただ、総当たり攻撃はパスワードロックを受けると続けられなくなります。ブルートフォース攻撃では初期から用いられてきましたが、「X回間違えたらロックする」といったシステムが増えたことで事例は減ってきています。
②辞書攻撃
辞書攻撃は頻繁にパスワードに使われているパターンを辞書のようにしてリスト化しておき、優先度の高いパターンから順番に入力していく方法です。世の中で使用されているパスワード情報を調査し、頻度の高いものを試して一致するかどうかを確認していきます。
辞書攻撃ではパスワードロックがかかる場合でも当たる可能性が高くなります。データの蓄積によって確度の高いパスワードを狙えるようになるため、データドリブンの時代になった現代では辞書攻撃によるサイバー攻撃が頻繁におこなわれるようになってきています。
リブルートフォース攻撃とは何か?
リブルートフォース攻撃とはリバースブルートフォース攻撃とも呼ばれるサイバー攻撃です。ブルートフォース攻撃がパスワードを力業で見出すのに対して、リブルートフォース攻撃ではよく使われているパスワードに基づいてIDを力業で探す手法です。「1234」といったよくあるパスワードを基点にして、ログインに使用するIDを探索します。
IDにはメールアドレスやユーザー名、特定の桁数の半角英数字などが用いられています。リブルートフォース攻撃ではサービスごとのIDのルールに着目して、可能性の高いIDを網羅的に入力するのが一般的です。
リブルートフォース攻撃の主な手法
リブルートフォース攻撃ではブルートフォース攻撃のように総当たり攻撃と辞書攻撃が用いられていますが、主流なのは辞書攻撃です。IDが「半角小文字2文字+数字6文字」といった形で整えられている場合には総当たり攻撃が用いられる場合があります。しかし、自由入力でIDを設定できる場合は総当たり攻撃の可能性が無限大になるので合理的ではありません。
IDの自由がある場合には辞書攻撃がよく用いられています。IDリストをリスト業者から購入して利用したり、メールアドレスリストを購入してIDとして使えるサービスを狙ったりするのが典型的な方法です。
ブルートフォース攻撃による影響・リスク
ブルートフォース攻撃を受けると大きな損害が発生するリスクがあります。ここではブルートフォース攻撃による影響について解説します。
不正アクセス・乗っ取り
ブルートフォース攻撃によってログイン情報を盗み取られます。サービスにログインされてしまうため、不正アクセスによる被害が起こるのが大きなリスクです。ブルートフォース攻撃によってログインされてしまうと、IDやパスワードを変更されてアカウントを乗っ取られるリスクもあります。アクセスできずに戸惑っている間にアカウントを使用されてしまうでしょう。銀行口座なら資金をすべて出金・送金されて盗み取られることもあります。
個人情報や機密情報の漏洩
ブルートフォース攻撃を受けてログインされてしまうと、アカウントに登録されている情報や、アカウントを使ってアクセスできる情報を盗まれるリスクがあります。自分自身の個人情報はアカウントから見られることが多いので漏えいのリスクが高いでしょう。さらに、企業のアカウントの場合には顧客情報やビジネス情報などについても漏えいするリスクがあります。機密情報を公開すると言って脅迫をされるリスクもあるので対策が必要です。
ブルートフォース攻撃の対策
ブルートフォース攻撃は適切な対策をすればリスクを抑えられます。ここではまず行うべき対策方法を紹介します。
パスワードを強化する・使い回さない
ブルートフォース攻撃の対策ではパスワードのセキュリティを上げることが重要です。よく使われているパスワードを避けたり、同じパスワードを複数のサービスで使い回さないようにしたりするのがまず必要です。パスワードは少なくとも8文字以上にして、英数字と記号を可能な限り混ぜて総当たり攻撃を避けましょう。パスワードは複雑にして他では使われていないようなものにすると辞書攻撃による被害のリスクを抑えられます。
アクセス制限を設定する
アクセス制限をしてセキュリティ対策をするのはブルートフォース攻撃の防止になります。ブルートフォース攻撃では外部からのアクセスがほとんどです。外部のIPアドレスからのアクセスを制限するとリスクを下げられます。パソコンなどのデバイスの物理アドレスを登録してアクセス制限をかけるとブルートフォース攻撃を受けにくくなります。デバイス自体を盗まれない限りは強固なセキュリティになるのでおすすめです。
多要素認証を導入し設定する
ブルートフォース攻撃はIDとパスワードだけの単純な認証によるログインを認めているとリスクが高くなります。多要素認証を導入すると、もしパスワードが見つけられてしまったとしてもログインするのが困難になるので効果的です。指紋認証や顔認証などの生体認証や、メールアドレスや電話番号による認証などが有効です。ログイン認証のストレスが大きくならない範囲で利便性の高い多要素認証を取り入れてブルートフォース攻撃対策をしましょう。
リブルートフォース攻撃の対策
リブルートフォース攻撃にも対策ができます。リブルートフォース攻撃はよくあるパスワードを基点にするので、パスワードの強化が効果的な対策です。また、IDとしてメールアドレスなどの漏えいリスクのあるものは使用せず、個別に設定するとセキュリティが高まります。多要素認証もリブルートフォース攻撃対策として有効です。基本的にはブルートフォース攻撃の対策と同じですが、ID強化の必要がある点には注意しましょう。
ブルートフォース攻撃の被害事例
ブルートフォース攻撃による被害は実際に起きています。ここではブルートフォース攻撃による被害事例を紹介します。
セブン&アイ・ホールディングス「7pay」
セブン&アイ・ホールディングスではブルートフォース攻撃による被害を受けて、グループ傘下にある株式会社セブン・ペイの運営するスマートフォンの決済サービス7payを2019年に導入後まもなくして廃止しました。被害内容としては不正チャージと不正利用の二種類がありました。
同社ではサービスを開始した翌日から身に覚えのない取引についての問い合わせがあり、セキュリティ対策プロジェクトを起ち上げて不正アクセスの調査を進めていました。最終的には解決に至らず、3ヶ月ほどでサービスを廃止せざるを得ない状況に至っています。
参照:「7pay(セブンペイ)」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について | 企業 | セブン&アイ・ホールディングス
https://www.7andi.com/company/news/release/201908011500.html
名古屋大学医学部附属病院
名古屋大学医学部附属病院では職員のアカウントがブルートフォース攻撃によって奪われたことにより、アカウント内の個人情報が漏えいした可能性があると公表しています。2022年2月に起きた事例で、職員だけでなく患者や医学部生の個人情報も含んでいたとされています。ブルートフォース攻撃を受けて不正アクセスを受けたのは3つのアカウントでした。
同院ではブルートフォース攻撃の対策のために多要素認証の導入などの対策を進めていくと発表しています。合計416名の個人情報が流出した可能性がある大きな事件でした。
参照:BF攻撃で合計416名の情報流出か、名古屋大学医学部附属病院|サイバーセキュリティ.com
https://cybersecurity-jp.com/news/64313
ブルートフォース攻撃の対策はSMS認証が有効
ブルートフォース攻撃の対策として二段階認証は有効です。IDとパスワードが一致したとしても、二段階認証ができなければログインできません。本人確認をするもう一つの手段としてSMS認証は効果的なので導入を検討しましょう。スマートフォンとナンバーポータビリティの普及によって、一人一番号の時代になりました。SMS認証なら本人の電話番号でしか受信できないので安全です。システムのセキュリティを高める方法として簡便なので活用してみてください。
関連リンク:SMS認証とは?仕組みやメリット、本人確認の方法を解説
https://sms.supership.jp/blog/sms/sms_ninsyoutoha/
法人向けSMS送信サービスなら「KDDI Message Cast」
SMS認証を導入するにはSMS送信サービスが必要です。ブルートフォース攻撃対策としてサービスを導入するならKDDI Message Castがおすすめです。KDDI Message CastではAPI連携が可能で、SMS認証の自動送信に対応しています。誤配信防止機能も利用できるため、セキュリティ対策の目的で導入するのに適しています。一斉配信などの機能も豊富なのでブルートフォース攻撃対策以外にも汎用性があるマーケティングツールです。
まとめ
ブルートフォース攻撃は可能性のあるパスワードを探索して入力するサイバー攻撃です。脆弱なIDやパスワードを使用していると、アカウントを悪用されたり、乗っ取られたりするリスクがあるので対策を講じましょう。IDやパスワードを強化して総当たり攻撃や辞書攻撃でのリスク低減を目指すのは基本です。さらにSMS認証や生体認証などを導入して多段階認証をすると安全性が高まります。ブルートフォース攻撃対策は多角的に進めて安全な状況を作りましょう。
▼KDDI Message Cast(KDDIメッセージキャスト)詳しくはこちら
https://sms.supership.jp/