近年、増え続ける企業の情報漏洩は、ニュースでも大々的に取り上げられ後を絶ちません。情報漏洩が発覚した企業は、コスト面だけでなく信頼性、企業イメージも著しく損なうことになります。ここでは、個人情報、カード情報を盗むための攻撃手法の1つであるブルートフォース攻撃とその対策について解説します。
ブルートフォース攻撃とは?
ブルートフォース攻撃(Brute Force Attack)とは、個人や企業のデータや金銭を盗むために、ログイン情報を取得する攻撃手法の1つです。
「ブルートフォース」 とは「力まかせ」という意味で、ログインID、パスワードを片っ端から繰り返し検証していくため「総当り攻撃」とも言われます。ブルートフォース攻撃は古くからあるサイバー攻撃ですが、攻撃の手法はシンプルかつ効果的です。
ブルートフォース攻撃の種類
ブルートフォース攻撃
ブルートフォース攻撃は、ログインIDを固定し、ソフトウェア等を使用して異なるパスワードを総当たりで入力することでサーバーログインを狙う手法です。
多くの人が、いまだに単純で脆弱なパスワードを使用しています。そして、複数のウェブサイトで同じパスワードを使い回していたり、パスワードを紙に書いて机に置いていたりします。
こうしたずさんなパスワード管理に対して、ブルートフォース攻撃は簡単で効果的です。
まず、攻撃者はターゲットを選択し、そのアカウント名とパスワードでログインを試みます。推測が容易なパスワードであれば、比較的短時間で攻撃に成功します。
リバースブルートフォース攻撃
リバースブルートフォース攻撃は、パスワードを固定して、ログインIDを変えながら繰り返しログインを試行する手法です。
前述のブルートフォース攻撃は、ログインIDを固定し、異なるパスワードを入力することで、サーバーログインを狙う手法で、ターゲットが定まっている場合に用いられます。
逆にリバースブルートフォース攻撃は、まずよく利用されるパスワードを固定します。そしてログインIDを変えながら攻撃を試行する方法です。この手法は、ターゲットが定まっておらず、誰でもいいので攻撃したい場合に用いられます。
辞書攻撃
「辞書攻撃(Dictionary Attack)」とはブルートフォース攻撃の一種で、あらかじめよく使われるパスワードを辞書として保存しておき、それを利用してログインを試みる手法です。例えば、「password」「123456」「qwerty」などパスワードに使用されることの多そうなキーワードを、ブルートフォース攻撃の前に優先的に試すのです。
「辞書攻撃」という名称は、攻撃者がパスワードとして使われそうなキーワードの辞書を作成し、それを利用することに由来します。
ブルートフォース攻撃の目的とは?
ブルートフォース攻撃は、ターゲットのログインIDやパスワードを解読するのに忍耐力が必要です。しかし、その分、大きな報酬を得られる可能性があります。
ブルートフォース攻撃の主な目的を挙げてみましょう。
個人・企業情報の窃取
ユーザーのアカウントへ侵入すると、財務情報、銀行口座、クレジット情報、家族情報、医療情報など、そのアカウントが保有する様々なデータが手に入る可能性があります。攻撃者は本人になりすまし、金銭を盗んだり、第三者に情報を売り渡すことで利益を得ます。
また、企業の機密データにアクセスすることによって、企業財務、特許情報、新製品開発、社員、関連会社、その企業が保有するクライアントの個人情報などを取得できます。
このような情報を利用して、脅迫、恐喝、悪評の流布など、より広範囲な攻撃を可能にします。
悪意のある活動のため
ブルートフォース攻撃に成功すると、さらに広範な攻撃の土台になります。たとえば、DDoS攻撃(Distributed Denial-of-Service Attack)、セキュリティ防御の突破、システム破壊などが可能になります。
企業やウェブサイトの評判を落とす
ブルートフォース攻撃を利用してウェブサイトのアクセス権を取得すれば、経済的な損失だけでなく、風評被害も引き起こします。たとえば、ウェブサイトに卑猥なテキストや画像を掲載することで、企業やウェブサイト運営者の評判が低下し、ウェブサイトそのものを運営できなくするのです。
ブルートフォース攻撃を防ぐには
ブルートフォース攻撃は、シンプルな攻撃手法です。下記の方法で、攻撃を抑制することができます。代表的な防御策をご紹介します。
より強固なパスワードの使用
ブルートフォース攻撃を防ぐには、パスワードの解読をできるだけ困難にすることが一番有効です。パスワードを困難にすることで、解読に時間がかかり、攻撃者を諦めさせる方法です。
例えば、パスワードの桁数や使用可能な文字を変えることも有効です。
・数字のみ4桁の場合、使用可能文字数 10通り
0000~9999 までの 10,000通りのパターンになります。
・英字(大小)+数字8桁の場合、使用可能文字数 62通り
62の8乗 218,340,105,584,896通りのパターンになります。
パスワード強化は、自分と組織のデータを保護するために重要な役割を担っています。
また、パスワードの変更を定期的に行うことで、ブルートフォース攻撃を最初から行わせることになり、ログイン情報を保護するために有効です。
エラーメッセージの工夫
エラーメッセージは、しばしば攻撃者にヒントを与えます。
例えば、ECサイトなどで適当なログインID、パスワードを入れて、「パスワードが間違っています」と表示されれば、そのログインIDが存在することを攻撃者に知らせることになります。
そうならないために、「ログインID、パスワードのどちらかが間違っています」というように攻撃者に余計なヒントを与えないようにします。
断続的なログイン失敗による停止
ブルートフォース攻撃は、主にツールを使用して総当たりでログインを試みることから、そのツールを麻痺させることが有効です。
例えば、パスワードを3回失敗すると一定時間あけないとログインできないようにすれば、そのたびにツールを再開しないといけません。こうすることで攻撃者の手間となり、諦めさせる要因になります。
まとめ
ブルートフォース攻撃は、ログインIDやパスワードを総当たりで試しログインを試みる攻撃行為です。IT初心者でも、時間をかければ成功の確率が高まる効果的な手法です。
しかし、正規のユーザーと攻撃者を判別するのは難しく、防ぐのは容易ではありません。簡単な手法はウェブを守るためのウェブアプリケーションファイアウォール(WAF)の導入です。不正アクセスは、予告なしにやってきます。この機会にWAFの導入を検討してみてはいかがでしょうか?