
中小企業が抱えるネットワークの運用課題を解決。管理者不在でも安心・安全なネットワークを実現|NetAttest20周年特別企画
- 取材記事
- 無線LAN
- 社内LAN
- 認証
普段利用するサービスやシステムの多くでは、利用者を識別するためにIDとパスワードの入力を要求します。特にパスワードは不正アクセスを防止するための重要な情報であり、最も手軽なセキュリティ対策の1つでしょう。一方、そんなパスワードによるセキュリティを突破するためのサイバー攻撃にはさまざまな種類が存在しており、「ブルートフォースアタック」は代表的もののひとつです。仕組みが単純なこともあり、比較的手軽に実行される攻撃手法です。
この記事では、ブルートフォースアタックの仕組みや手口とあわせて、具体的な対策方法について解説します。
ブルートフォースアタック(総当たり攻撃)とは、パスワードのすべての組み合わせを試してセキュリティを突破するサイバー攻撃の手法です。IT技術が進歩し、高性能なコンピューターを誰でも手に入れられるようになったいまでは、特別な知識がない人でもこの手法を用いれば簡単にパスワードの解読を試みることができます。
ブルートフォースアタックにはいくつか亜種が存在しており、パスワードとして頻繁に利用されることの多い文字列をまとめたリストと組みあわせて利用する攻撃や、パスワードの代わりにIDを総当りで試行する「リバースブルートフォースアタック」というものも存在します。
ブルートフォースアタックでは、対象となるIDを入手することから始まります。IDを入手したら、あとはすべてのパスワードの組み合わせを実施するだけです。
パスワードは特定の数字・文字の組み合わせです。例えば、0~9までの文字列を2組使ったパスワードは00~99までの100通りであり、地道に一通りずつ試せばいつかは突破できることがわかるでしょう。
ブルートフォースアタックの考え方も同様です。単純作業の繰り返しを得意とするコンピューターの特性を活かし、機械的にパスワードのすべての組み合わせを試すことでパスワードを解読します。
数字だけでなく、英字の組み合わせによって数万通りのパターンが存在したとしても、コンピューターを利用すれば自動的に行われるため苦になりません。性能が高くなった近年のコンピューターであれば、4桁では数分、6桁でも数十分~数日程度ですべての組み合わせが試行されます。
ブルートフォースアタックによって発生しうる被害としては、金銭的被害、情報漏えい、データの改ざんなどが挙げられます。ブルートフォースアタックによってパスワードが突破されるということは、不正アクセスやなりすましの被害につながります。
ECサイトに不正アクセスされれば、不正に商品を購入されたり、住所などの個人情報を盗まれたりするリスクが想定されるでしょう。また、Webサービスやシステムなどを公開している場合には、データを改ざんされるリスクも想定されます。
企業であれば個人情報の漏えいなどによって社会的信用の失墜、ブランドイメージの低下なども想定され、企業経営に多大な影響をもたらすことになります。
ブルートフォースアタックの仕組み自体は非常に単純です。昔から存在する攻撃手法であるため、適切な対策を取れば対応できます。効果的な対策手段としては次のようなものが挙げられるでしょう。
パスワードを設定する側(利用者側)の対策としては、パスワードの桁数を多くすることや、文字種を多くすることが有効です。パスワードの桁数が多くなれば、それだけ組み合わせ数も多くなり、解読に掛かる時間が増えるため突破されにくくなります。あわせて、数字・英字だけの組み合わせではなく、大文字・小文字・記号などと組み合わせることでさらに組み合わせ数を増やすことが可能です。
また、システム側の対策としては試行回数に制限をつけることが有効です。ブルートフォースアタックでは最大でパスワードの組み合わせ数の回数分試行されますが、複数回認証に失敗した時点でアカウントを停止したり、次の認証までに待機時間が必要になるようにしたりすると突破されにくくなります(ただし、ID側の組み合わせを変える「リバースブルートフォースアタック」には有効とはいえません)。
あわせて、パスワードのみの認証だけでなく、指紋認証やデバイス認証などの異なる要素による認証を組み合わせると、ブルートフォースアタックでは突破できなくなるため有効です。
ブルートフォースアタックの対策をしておきましょう。
パスワードはセキュリティ対策として最も利用する機会が多い手段です。しかし、ブルートフォースアタックのようにパスワードを狙ったサイバー攻撃は多く存在します。
テレワークの普及によって業務でもクラウドサービスを利用する機会が増えた昨今、パスワードの管理は煩雑になりやすく安易なパスワードを設定しているケースも散見されます。そんななかで、ブルートフォースアタックを受けると重大なセキュリティ事故につながりかねません。
ブルートフォースアタック自体は単純な攻撃手法であるため、利用者側でも有効な対策手段は存在します。この機会にパスワード設定について見直してみてはいかがでしょうか。
中小企業が抱えるネットワークの運用課題を解決。管理者不在でも安心・安全なネットワークを実現|NetAttest20周年特別企画
Wi-Fiだけでない、様々な企業ニーズに応えるネットワークソリューション『Aruba』とは | NetAttest20周年特別企画
働き方改革やリモートワーク。ニューノーマル時代の無線LANに求められることとは | NetAttest20周年特別企画
お客様の事業の安定と成長のために。DXを支えるネットワークセキュリティなど状況にあわせて最適な提案を|NetAttest20周年特別企画