解説 2022/11/16

ブルートフォースアタックとは？被害内容と対策など

コラム

普段利用するサービスやシステムの多くでは、利用者を識別するためにIDとパスワードの入力を要求します。特にパスワードは不正アクセスを防止するための重要な情報であり、最も手軽なセキュリティ対策の1つでしょう。一方、そんなパスワードによるセキュリティを突破するためのサイバー攻撃にはさまざまな種類が存在しており、「ブルートフォースアタック」は代表的もののひとつです。仕組みが単純なこともあり、比較的手軽に実行される攻撃手法です。

この記事では、ブルートフォースアタックの仕組みや手口とあわせて、具体的な対策方法について解説します。

ブルートフォースアタックとは

ブルートフォースアタック（総当たり攻撃）とは、パスワードのすべての組み合わせを試してセキュリティを突破するサイバー攻撃の手法です。IT技術が進歩し、高性能なコンピューターを誰でも手に入れられるようになったいまでは、特別な知識がない人でもこの手法を用いれば簡単にパスワードの解読を試みることができます。

ブルートフォースアタックにはいくつか亜種が存在しており、パスワードとして頻繁に利用されることの多い文字列をまとめたリストと組みあわせて利用する攻撃や、パスワードの代わりにIDを総当りで試行する「リバースブルートフォースアタック」というものも存在します。

ブルートフォースアタックの仕組みと手口

ブルートフォースアタックでは、対象となるIDを入手することから始まります。IDを入手したら、あとはすべてのパスワードの組み合わせを実施するだけです。

パスワードは特定の数字・文字の組み合わせです。例えば、0～9までの文字列を2組使ったパスワードは00～99までの100通りであり、地道に一通りずつ試せばいつかは突破できることがわかるでしょう。

ブルートフォースアタックの考え方も同様です。単純作業の繰り返しを得意とするコンピューターの特性を活かし、機械的にパスワードのすべての組み合わせを試すことでパスワードを解読します。

数字だけでなく、英字の組み合わせによって数万通りのパターンが存在したとしても、コンピューターを利用すれば自動的に行われるため苦になりません。性能が高くなった近年のコンピューターであれば、4桁では数分、6桁でも数十分～数日程度ですべての組み合わせが試行されます。

ブルートフォースアタックによって発生しうる被害

ブルートフォースアタックによって発生しうる被害としては、金銭的被害、情報漏えい、データの改ざんなどが挙げられます。ブルートフォースアタックによってパスワードが突破されるということは、不正アクセスやなりすましの被害につながります。

ECサイトに不正アクセスされれば、不正に商品を購入されたり、住所などの個人情報を盗まれたりするリスクが想定されるでしょう。また、Webサービスやシステムなどを公開している場合には、データを改ざんされるリスクも想定されます。

企業であれば個人情報の漏えいなどによって社会的信用の失墜、ブランドイメージの低下なども想定され、企業経営に多大な影響をもたらすことになります。

ブルートフォースアタックへの効果的な対策

ブルートフォースアタックの仕組み自体は非常に単純です。昔から存在する攻撃手法であるため、適切な対策を取れば対応できます。効果的な対策手段としては次のようなものが挙げられるでしょう。

パスワードの桁数を多くする
パスワードの文字種を多くする
試行回数に制限をつける
多要素認証を導入する

パスワードを設定する側（利用者側）の対策としては、パスワードの桁数を多くすることや、文字種を多くすることが有効です。パスワードの桁数が多くなれば、それだけ組み合わせ数も多くなり、解読に掛かる時間が増えるため突破されにくくなります。あわせて、数字・英字だけの組み合わせではなく、大文字・小文字・記号などと組み合わせることでさらに組み合わせ数を増やすことが可能です。

また、システム側の対策としては試行回数に制限をつけることが有効です。ブルートフォースアタックでは最大でパスワードの組み合わせ数の回数分試行されますが、複数回認証に失敗した時点でアカウントを停止したり、次の認証までに待機時間が必要になるようにしたりすると突破されにくくなります（ただし、ID側の組み合わせを変える「リバースブルートフォースアタック」には有効とはいえません）。

あわせて、パスワードのみの認証だけでなく、指紋認証やデバイス認証などの異なる要素による認証を組み合わせると、ブルートフォースアタックでは突破できなくなるため有効です。