ブルートフォースアタックとは?今のままでは危険、攻撃方法と対策をご紹介

ブルートフォースアタックとは?今のままでは危険、攻撃方法と対策をご紹介
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

ブルートフォースアタックとは、別名『総当たり攻撃』と呼ばれ、パスワードがヒットするまで組み合わせを試す攻撃です。

パスワードを簡単な文字列で設定していたり、同じパスワードを使いまわしてしまっていると不正ログインが容易になるので、パスワードを難解にし、使いまわさないようにしましょう。

ブルートフォースアタックとは

ブルートフォースアタック(総当たり攻撃)は、古くからある攻撃手法です。
力技で鍵をこじ開けるような方法になりますが、ツールや技術の進化により総当たりが簡単になったこともあり、今でも主流な攻撃手法の一つです。

多くサービスがある中で、全て同じようなパスワードを利用していると簡単にヒットされてしまい、不正ログインされる可能性が高くなります。

不正ログインをされてしまうと、アカウントの乗っ取りやパスワードの変更・情報漏洩に繋がってしまうので、注意が必要です。

次に、攻撃の種類と解読までの時間を確認してみましょう。

ブルートフォースアタックの種類と解読時間

ブルートフォースアタックの攻撃種類とパスワードの解読時間について解説していきます。
自分が今設定しているパスワードがどのくらいの時間でヒットされてしまうのか、確認してみましょう。

ブルートフォースアタックの種類

ブルートフォースアタックの種類は、3つあります。

  • 通常の総当たり攻撃
  • 辞書攻撃
  • リスト攻撃

以下説明していきます。

通常の総当たり攻撃

総当たり攻撃は、全てのパターンを一つずつ確認していく方法です。

例えば、0から9までの数字を使い4桁のパスワードを設定している場合、0001・0002・0003と順に試していき、1万通り(10の4乗)の中からパスワードをヒットさせます。

このくらいであれば、人間でも数日あれば当てることが可能です。
今では、コンピュータスペックや精度の高いものが多く出ていますので下の画像にあるように3秒ほどでヒットさせることができてしまいます。

辞書攻撃

すでにブルートフォースアタックが成功しているパスワードやよくあるパターンを辞書として集約し、その中から当てるというものです。

例えば、米国のセキュリティ会社である『Splash Date』が発表した「もっともひどいパスワードトップ100」の上位にあるような「123456」「password」などの簡易的なパスワードでは、通常より早く解読できてしまう可能性があります。
誰でも知っていたり、簡単に思いつくような文字の羅列や単語といったものをパスワードに設定してしまうと、不正ログインが容易になってしまうのです。

また、500万の流出したパスワードを評価した結果、ユーザーは予測可能で容易にアクセス可能なパスワードを使い続けていることがわかっています。

このような安易なパスワードを設定していると非常に危険です。

リスト攻撃

リスト攻撃とは、一度ログインできた「ユーザー名」「パスワード」を他のサイトでも試してみるといった内容です。

例えば、Twitterのユーザー名・パスワードがたまたまヒットしたとします。
そのユーザー名・パスワードを利用して、InstagramやGoogleアカウントなどのアカウントのあるサイトに複数試してログインできるか試みるといった攻撃です。

そのため、同じユーザー名・パスワードを利用している場合は、リスト攻撃が可能となってしまうと言うことになります。

ブルートフォースアタックによる解読時間

下記の図をみてわかる通り、4桁のパスワードであれば3秒ほどでヒットさせることが可能という結果が出ています。

今、あなたが設定しているパスワードのセキュリティはいかがでしょうか。
もし、4桁や26種類のアルファベットのみを使用している場合は、再度設定し直す必要があります。

使用している文字数や使用している文字の種類を確認し、最大限難しいパスワードを設定しましょう。

password解読時間

出典:コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について

ブルートフォースアタックの被害事例

ブルートフォースアタックの被害事例についてみていきます。
実際に身の回りでもいきているため、対策が必要です。

7pay事件

記憶に新しい事例です。

7payの認証を潜り、「不正利用」「不正チャージ」が行われていたというものです。
不正ログインの回数は数千万回行われ、7月中旬までに不正利用被害にあった方は808人にまで膨れ上がり、被害総額は3861万5473円と大きな被害となっています。

安易なパスワード設定によるリスト攻撃や開発者側のシステム認証に欠陥があったために、このように規模が大きくなってしまいました。

決済などの個人情報やクレジット情報を入力する場面では、認証がきちんと行われているか・通信は保護されているか・安易なパスワードを設定してしまっていないか確認する必要があります。

参考:「7iD」のセキュリティは大丈夫? 7pay終了会見で残った疑問

Guardicoreが報告したハッキングキャンペーン

Windows MS−SQLやphpMyAdminサーバーを感染させることを目的としたハッキングキャンペーンがあり、被害にあっているマシンは、50,000台を超えるサーバーが含まれていると報告しています。

各MS−SQLサーバーへのログインを試み、認証が成功してしまうとサーバーアドレス・ユーザー名・パスワードは将来に使用するためにファイルに保存されてしまうといったことが起こりました。

同じユーザー名・パスワードを利用してしまっているとリスト攻撃の標的になってしまいます。

参考:THE NANSH0U CAMPAIGN – HACKERS ARSENAL GROWS STRONGER

ブルートフォースアタック対策方法

ブルートフォースアタックの被害にあわないための対策方法を4つご紹介します。

パスワードを難解にする

IPA情報処理推進機構が推奨するパスワードは、英字大小・数字・記号を含め8文字以上がを設定することとあります。
上記の表でいう約1千年という所に位置します。

これ以上の文字数であれば強力であるということです。
また、辞書攻撃されないためにも、意味のある単語や生年月日・記念日などは使用しないほうが良いでしょう。

パスワードを自分で設定するのは難しいと感じる方は、以下のようなパスワード生成ツールを利用してみてください。
他のツールを利用する際は、通信が保護されているパスワード生成ツールを利用することをお勧めします。

Norton PasswordManager

ラッコツールズ パスワード生成ツール

二段階認証・ワンタイムパスワードを使う

アプリやWebサイトによっては、電話番号やメールを利用した二段階認証を行なっているサービスがあります。

二段階認証は、単純にIDとパスワードを入力するだけでなく、そのあとに登録中のメールアドレスや電話番号宛てのショートメールなどで、一定時間だけ有効なパスワードが発行されるというもの。
メールアドレスや電話番号といった、より個人と結びついた要素を認証に組み込むことで、セキュリティ強度を大きく引き上げることができます。

しかし、まだ二段階認証を設定できないサービスが世の中には存在していますので以下のようなワンタイムパスワードを利用することで、攻撃を防ぐことが可能です。
Google Authenticator

ログイン制限を行う

一定の端末やログイン試行回数を指定することで、不正ログインを防ぐことができます。

また、設定しておくことで何度も失敗していますという通知がくる設定も行うことができるので未然に防ぐことが可能です。

設定することができるサービスもありますので、Q&Aなどで確認し実施してみてください。

参考:楽天銀行 モバイルログイン制限

アクセス制限をかける

サービスを運営している場合は、特定のIPアドレス以外からのアクセスを制限することで不正アクセスを受ける可能性を低くすることができます。

利用しているサーバー各社で、IPアドレスを制限することができますので、ご確認ください。

以下代表的なサーバーの例をあげてみました。

カゴヤ・ジャパン

LOLIPOP

Xserver

まとめ

今回は、ブルートフォースアタックについて解説しました。

安易なパスワードや認証を行なっていると、被害事例のようなことが起きてしまうのです。

対策方法で解説した通り、すぐにできる対策方法ばかりですので「全部パスワード同じ」「簡単なものにしてしまっていた」といった方は、今すぐにでも変更することをおすすめします。

また、サービスを運営されている方は安全性が担保されているか確認しセキュリティ対策を行いましょう。

今では、コンピュータも性能が向上しているので総当たりするのも簡単になっています。

この際にぜひ対策を行い、被害にあう可能性を低くしていきましょう。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

記事が気に入ったら
wp.supportを "いいね!"
Facebookで更新情報をお届け。

WordPressの保守・セキュリティ対策なら「wp.support」