「ブルートフォース攻撃ってどんな攻撃なの?」
「自社のアカウントを守るには、どう対策したらいい?」
ブルートフォース攻撃は「総当たり攻撃」とも呼ばれるサイバー攻撃の一種です。単純な手口ながら現在でも被害は後を絶たず、多くの不正ログインの原因となっています。
この攻撃によって一度不正ログインを許してしまうと、アカウントの乗っ取りや個人情報の漏洩といった深刻な事態に発展しかねません。
本記事では、ブルートフォース攻撃について以下の内容を解説します。
- ブルートフォース攻撃の仕組みとやり方
- 関連する攻撃手法の種類
- ブルートフォース攻撃によって起こるリスク
- 効果的な防御策
本記事を読むことで、ブルートフォース攻撃の危険性と具体的な対策のポイントが理解できるでしょう。セキュリティ強化を検討している方は、ぜひご一読ください。
ブルートフォース攻撃とは?仕組みとやり方
ブルートフォース攻撃とは、ユーザー名やパスワードを特定するために、考えられるあらゆる組み合わせを一つずつ総当たりで試行するサイバー攻撃です。「総当たり攻撃」とも呼ばれており、攻撃者はプログラムを使って考えられる文字列を片っ端から入力し、ログインに成功するまで試行を続けます。
この攻撃は、処理能力の高いコンピューターやボットネットを利用すれば、大量の試行を短時間で実行できます。
ブルートフォース攻撃は、シンプルながら非常に脅威となる攻撃手法です。例えば「abc123」や「password」といった単純なパスワードであれば、短時間で突破されてしまう可能性があります。攻撃者が一度侵入に成功すれば、個人情報や機密データが流出し、不正利用やさらなるサイバー攻撃につながる危険性があります。
ブルートフォース攻撃に関連した攻撃
ブルートフォース攻撃には、その手法を応用した関連攻撃が存在します。これらの攻撃は、総当たりという基本的な考え方を応用し、より効率的に不正ログインを試みるものです。
代表的な攻撃手法として、主に以下の2種類が挙げられます。
- リバースブルートフォース攻撃
- 辞書攻撃・パスワードリスト攻撃
リバースブルートフォース攻撃
リバースブルートフォース攻撃は、通常の総当たり攻撃とは逆の手順で行われます。一般的なブルートフォース攻撃では「特定のアカウントに対して多数のパスワードを試す」のに対し、この攻撃では「1つのよく使われるパスワードを多数のアカウントに対して試す」のが特徴です。
この手法は、特定のアカウントに対するログイン試行回数の制限を回避する目的で用いられることが少なくありません。多数のユーザーIDに対して少しずつ試行するため、1つのアカウントがロックされるリスクを抑えつつ攻撃を継続できます。攻撃者は単純なパスワードを設定し、それに合致するユーザーIDを探し当てようとします。
辞書攻撃・パスワードリスト攻撃
辞書攻撃は、ブルートフォース攻撃をより効率的にした手法の一つです。辞書に掲載されている単語や、パスワードとして頻繁に利用される文字列をリスト化し、それを基にログインを試行する特徴があります。成功の可能性が高いパスワード候補に絞って攻撃するため、短時間で不正ログインに至る危険性をはらんでいます。
一方、パスワードリスト攻撃は、別のサービスから流出したIDとパスワードのリスト(名簿)を悪用する手法です。多くのユーザーが複数のサービスで同じ認証情報を使い回す習慣があることを突き、リスト上の情報をそのまま使って不正ログインを試みます。元の情報が本物であるため、他の攻撃手法と比較して成功率が非常に高くなる傾向があります。
ブルートフォース攻撃のリスク
ブルートフォース攻撃への対策を講じないと、深刻な被害につながる危険性があります。攻撃が成功して不正ログインを許した場合、以下のようなリスクが想定されます。
- アカウント乗っ取り・不正利用
- 機密情報の漏洩
- システムへの負荷・サービス停止
アカウント乗っ取り・不正利用
ブルートフォース攻撃が成功した場合に起こり得るリスクは、アカウントの乗っ取りです。攻撃者は特定したIDとパスワードを用いて正規のユーザーになりすまし、そのアカウントで実行可能なあらゆる操作を不正に行うようになります。
例えば、SNSのアカウントが乗っ取られると、本人になりすまして不適切な投稿をしたり、友人・知人に詐欺メッセージを送信したりする可能性があります。また、ECサイトのアカウントであれば、登録されているクレジットカード情報が悪用され、高額な商品を勝手に購入されるといった金銭的被害に直結しかねません。さらに、ネットバンキングのアカウントが標的になれば、預金が不正に引き出されるなど、より深刻な事態に発展するおそれもあります。
機密情報の漏洩
ブルートフォース攻撃で不正ログインされたアカウントがアクセスできる範囲内の情報は、すべて漏洩のリスクにさらされます。とりわけ、広範囲なデータにアクセスできる管理者権限のアカウントが乗っ取られた場合、その被害は極めて甚大なものとなるでしょう。
サーバー内に保管されている顧客の氏名や住所、クレジットカード情報といった個人情報、あるいは社外秘の開発データなどが外部に流出する危険性をはらんでいます。一度漏洩した情報は、悪意のある第三者によって不正利用されたり、ダークウェブなどで売買されたりするケースも少なくありません。結果として、企業は社会的信用の失墜や多額の損害賠償といった深刻な事態に直面する可能性があります。
システムへの負荷・サービス停止
ブルートフォース攻撃は、サーバーやネットワークに大きな負荷をかけるという間接的なリスクも伴います。攻撃者は専用のツールを用いて、短時間に膨大な量のログイン試行を行うため、サーバーは大量のリクエストを処理しきれなくなるのです。
その結果、Webサイトの表示速度が著しく低下したり、最悪の場合はシステムがダウンしてサービスが完全に停止してしまったりする可能性があります。ECサイトや金融サービスなど、24時間稼働が求められるシステムでは、数時間の停止でも大きな売上損失や顧客離れを招く可能性があるでしょう。
ブルートフォース攻撃の効果的な対策
単純ながらも強力なブルートフォース攻撃ですが、複数の対策を組み合わせることでそのリスクを大幅に低減できます。多角的に対策を講じれば、強固なセキュリティ体制の構築につながるでしょう。
主な対策は、次の6つです。
- 強力なパスワードを設定する
- 多要素認証(MFA)を導入する
- ログイン試行回数を制限する
- ワンタイムパスワードを活用する
- IDS/IPSやWAFを導入する
- 脆弱性診断を実施する
強力なパスワードを設定する
ブルートフォース攻撃への対策として、もっとも基本的かつ効果的なのが、強力なパスワードの設定です。ブルートフォース攻撃は考えられるすべての文字列を試行するため、パスワードの桁数が多く、文字の種類が複雑であるほど、組み合わせの総数が天文学的に増加します。その結果、攻撃者が正しいパスワードを特定するまでに要する時間が飛躍的に長くなり、事実上、解読を困難にさせられるのです。
具体的には、パスワードの文字数を10桁以上に設定し、アルファベットの大文字と小文字、数字、記号をすべて組み合わせましょう。また、名前や誕生日、辞書に載っているような単純な単語など、推測されやすい文字列の使用は避けるべきです。さらに、万が一情報が漏洩した際のリスクを分散させるために、サービスごとに異なるパスワードを設定しましょう。
ログイン試行回数を制限する
ブルートフォース攻撃への有効な対策には、ログイン試行回数に制限を設ける方法があります。これは、一定の回数以上パスワードの入力を間違えたアカウントに対し、一時的にログインできないようロックをかける仕組みです。
数回の失敗でアカウントがロックされれば、攻撃者はそれ以上の総当たり試行を続けられなくなり、攻撃の成功を未然に防ぐことが期待できます。ロックがかかるまでの回数やロックが継続する時間を適切に設定すれば、攻撃の効率を大幅に低下させられるでしょう。
多要素認証(MFA)を導入する
多要素認証(MFA)とは、ID・パスワードといった「知識情報」での認証に加えて、スマートフォンに届く認証コードなどの「所持情報」や、指紋・顔認証といった「生体情報」など、2つ以上の異なる要素を組み合わせて本人確認を行う仕組みです。
仮に攻撃者がブルートフォース攻撃によって正しいパスワードを突き止めたとしても、利用者の手元にあるスマートフォンや本人の生体情報がなければ第二の認証を突破できません。認証プロセスを多層化することでセキュリティは飛躍的に強化され、不正ログインを防ぐことが可能になります。
ワンタイムパスワードを活用する
ワンタイムパスワード(OTP)とは、一度きりしか使えない使い捨てのパスワードです。数十秒から数分という極めて短い有効期限が設定されています。
ログインのたびに異なる文字列が生成されるため、たとえ攻撃者が通常のパスワードを突破しても、OTPを知らなければ攻撃は成立しません。ブルートフォース攻撃は同じパスワードを繰り返し試すことを前提としているため、使い捨ての仕組みを導入すれば攻撃の成功率を大幅に下げられます。
IDS/IPSやWAFを導入する
ブルートフォース攻撃のもっとも一般的な対象は、ログイン機能を持つWebアプリケーションです。Webアプリケーションを守るためには、IDS/IPSやWAFといったセキュリティ製品の導入が有効策となります。
IDS(不正侵入検知システム)やIPS(不正侵入防止システム)は、ネットワーク全体を監視し、攻撃の兆候となる異常な通信を検知します。IPSは検知した通信を自動的に遮断することも可能です。
WAFは、Webアプリケーションの保護に特化したセキュリティ対策であり、ブルートフォース攻撃に対しても有効な防御策のひとつです。同一IPアドレスから短時間に大量のログイン試行が行われるといった攻撃特有の挙動を検知し、該当する通信を自動的にブロックしてくれるのです。
ただし、ネットワーク型のIDS/IPSは暗号化されたHTTPS通信の中身をそのまま見られないため、単体ではログイン試行の細かい検知が難しい場合があります。アプリ層で動くWAFやボット対策は、同一IPからの大量試行などの不審な挙動を検知しやすく、さらにアプリ側のレート制限・CAPTCHA・IPレピュテーション・デバイス指紋化などと組み合わせると実効性が高まります。
これらの専門的なツールを導入し、適切に運用することで、自動化された攻撃からシステムを効果的に守ることが可能になります。
▼関連記事
脆弱性診断を実施する
Webアプリケーションのセキュリティを維持するためには、定期的な脆弱性診断の実施も推奨されます。脆弱性診断とは、システムにセキュリティ上の弱点が存在しないか検査する仕組みです。脆弱性診断を通じて、ブルートフォース攻撃を許容してしまうような設定の不備などを未然に発見できます。
例えば、アカウントロック機能が意図通りに作動するか、あるいはパスワードポリシーが十分に厳しいかといった点を網羅的にチェックします。診断結果に基づいて改善を行えば、攻撃者につけ入る隙を与えない、より強固なシステムを構築できるでしょう。見落としがちな問題点を客観的な視点から洗い出し、安全性を高める上で非常に有効な手段となります。
▼関連記事
まとめ|対策を実施してブルートフォース攻撃を防ごう
ブルートフォース攻撃とは、総当たりでパスワードを突破しようとするシンプルながら強力な攻撃手法です。アカウント乗っ取りや情報漏洩、さらにはシステム停止など深刻な被害につながる可能性があるため、注意が必要です。
ブルートフォース攻撃を防ぐには、以下の6つの対策が有効です。
- 強力なパスワードを設定する
- 多要素認証(MFA)を導入する
- ログイン試行回数を制限する
- ワンタイムパスワードを活用する
- IDS/IPSやWAFを導入する
- 脆弱性診断を実施する
ログインに関する対策を強化するのが基本です。加えて、ブルートフォース攻撃の対象はWebアプリケーションなので、不正なログイン試行を検知・防御する対策も欠かせません。
Webアプリケーションの脆弱性をいち早く発見したい場合は、高精度な診断を提供するAeyeScanが役立ちます。自動化された脆弱性診断でリスクを効率的に洗い出し、ブルートフォース攻撃を含む幅広い脅威への対策を強化できます。セキュリティリスクを低減したい方は、まずAeyeScanの資料を確認してみてください。
