ブルートフォース攻撃
読み方:ブルートフォースコウゲキ
ブルートフォース攻撃とは
ブルートフォース攻撃とは、不正アクセスを実現させるために文字や数字のあらゆる配列パターンをログインが成功するまで入力していく攻撃方法です。不正アクセスが成立することで、アカウントの乗っ取りやなりすまし、情報漏洩、Webサイトの改ざん、クレジットカードや口座の不正利用といった被害を受ける恐れあります。
ブルートフォース攻撃の対策
Webシステム側の対策としてはログイン試行回数を制限することが非常に有効で、他にはパスワードを入力後、登録してあるSMSやメールアドレスへ送られる番号を入力する二段階認証やワンタイムパスワードの採用といったことが挙げられます。
ユーザ側の対策としてはパスワード設定の際、ランダムな文字列で可能な限り文字数の多いパスワードを生成することが挙げられます。攻撃者がパスワードを割り出す際、ランダムな文字列にすることで推測されにくくなります。さらに、文字数が多いほど試行しなければならない文字列パターンが増えてパスワードの特定が困難になるためです。
また、普段と違う端末やIPアドレスからログインした場合に通知される設定をしておくなども有効です。
ブルートフォース攻撃の関連語
- パスワードリスト攻撃
不正に入手したパスワードを複数のSNSやオンラインサービスに当てはめていく攻撃方法です。約8割の人間がSNS間やオンラインサービス間で同一パスワードを使い回す傾向があることが統計データとして報告されています。パスワードリスト攻撃は、その傾向を悪用した手段で成功率は通常のブルートフォース攻撃よりも高いと言われています。同じパスワードを使い回さないことや二段階認証に可能な限り設定しておくことが有効です。パスワードリスト攻撃についてはこちらもご参照ください。
- リバースブルートフォース攻撃
ユーザIDを固定してパスワードに総当たりを行う通常のブルートフォース攻撃に対して、特定のパスワードを固定してユーザIDの文字列、数字列への総当たりを行う攻撃方法です。通常のブルートフォース攻撃に対してはアカウントごとにログイン時にパスワードを一定回数以上間違えるとロックがかかる対策がされていますが、リバースブルートフォース攻撃はユーザIDが変わる(試行先のアカウントが変わる)ため効果はありません。リバースブルートフォースで固定されるパスワードは、複雑ではなく自然と連想され得るようなもの(例:芸能人の生年月日)を通常用いられることが多いため、そうしたパスワードの設定は避けるようにする方が無難だとされています。