ブルートフォースアタックというサイバー攻撃を聞いたことはありますか?
これは、文字数が少ないなどの簡単なパスワードを狙い、パスワードの組み合わせを片っ端から試す攻撃です。総当り攻撃とも呼ばれます。
そのため、簡単なパスワードを設定していると破られるリスクが高く、被害を受ける可能性が高くなります。
ここでは、ブルートフォースアタックの攻撃の種類や被害内容、今すぐできる対策方法などについて紹介し、セキュリティ対策の重要性を解説します。
ブルートフォースアタックとは?
ブルートフォースアタック(Brute-force attack)とは、パスワードのあらゆる組み合わせを片っ端からすべて試し不正ログインをする、暗号解読方法のひとつです。
総当たり攻撃とも呼ばれます。
例えば、スマートフォンに設定しているパスワードが4桁であれば、0000~9999まで、1万通りを試しパスワードを特定します。
人の手でおこなうと途方もない労力がかかりますが、コンピュータなら自動で一気に試すことができ、より早くロックを解除できます。
下記表は、情報処理推進機構のIPAが、パスワードの桁数と解読にかかる所要時間を調べたものです。
| 使用する文字の種類 | 使用できる 文字数 | 最大解読時間 | |||
| 入力桁数 | |||||
| 4桁 | 6桁 | 8桁 | 10桁 | ||
| 英字(大文字、小文字区別無) | 26 | 約3秒 | 約37分 | 約17日 | 約32年 |
| 英字(大文字、小文字区別有)+数字 | 62 | 約2分 | 約5日 | 約50年 | 約20万年 |
| 英字(大文字、小文字区別有)+数字+記号 | 93 | 約9分 | 約54日 | 約1千年 | 約1千万年 |
出典:コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について
パスワードが簡単だと破られやすく、複雑だと破られにくいことが具体的にわかります。
ブルートフォースアタックの種類
ブルートフォースアタックは、主に次の種類の攻撃が存在します。
パスワード総当たり攻撃
ID・パスワードや暗証番号の全組み合わせを試す方法で、ブルートフォースアタックの代表的な攻撃です。
全自動システムでパスワードを解析するため、機械が高速であらゆるパターンを試します。
簡単なパスワードを狙う辞書攻撃
辞書に載っているようなポピュラーな単語(basketball、musicなど)や、簡単なパスワード(1234、0000など)を狙う攻撃です。
特に、複雑でないパスワードでも設定できるサービスでは簡単なパスワードを設定する人も多く、狙われると突破されやすいです。
その他複数の組み合わせ攻撃
総当たり攻撃と辞書攻撃を組み合わせるなど、複数のブルートフォースアタックが使われることもあります。中には、ログイン回数制限にも対応した攻撃もあるのです。
ログインシステムを狙う攻撃手法は増えているため、最新情報を知っておき、個人個人がセキュリティ対策をするのが大切です。
ブルートフォースアタックで受ける被害
パスワードを突破されてしまい不正ログインなどをされると、次のような被害を受けるかもしれません。
SNSやWebサービスの乗っ取り
SNSのパスワードが破られると、FacebookやTwitterなどのアカウントを乗っ取られます。
アカウントを乗っ取られる、なりすまして詐欺サイト誘導のための投稿をされたり、友人の連絡先を聞き出されたりすることで、知人も被害を受けるかもしれません。
また、クレジットカードや銀行口座が登録してあるWebサービスのアカウントを乗っ取られると、勝手にお金を引き出されるといった、金銭的な被害を受ける可能性があります。
個人情報・機密情報の流出
Webサイトやシステムの乗っ取り、または機密情報ファイルのパスワードを破られると、登録されている顧客の個人情報や、企業の機密情報が流出されます。
さらに、ユーザーからの信頼が落ち、イメージダウンにつながります。いちど落ちたイメージを回復するのは大変なので、対策をしっかりしておくのが重要です。
Webサイトの改ざんやウイルス感染
乗っ取りにより、Webサイトの内容を改ざんされると、ユーザーが偽サイトに誘導されるなどの被害を受けます。
ウイルスの拠点にされてしまうと、さらに多くの人へ被害を広める可能性があり危険です。Webサイトを乗っ取られた企業は被害者ですが、加害側のような動きをしてしまいます。
ブルートフォースアタックへの対策
ブルートフォースアタックでは、ユーザーもしっかり対策することが大事になります。特に、中~小規模のWebサービスでは対策が甘いこともあるので、自分でできる対策を知っておきましょう。
パスワードを難解にする
数字のみでも8桁で設定すると、組み合わせは1億通りにもなり、破られる確率は4桁よりも下がります。
さらに、「数字+英字(大文字と小文字)」のランダムな文字列にすると、とても安全です。
4桁でパスワードを設定可能でも、8桁以上にしておくのがおすすめです。
二段階認証を利用する
二段階認証とは、ID・パスワードに加えてセキュリティコードや認証コードを入力し、ログインを二重で認証する方法です。
もしパスワードを破られても、登録メールアドレスに届くコードを入力する必要があり、ログインされるリスクは低いです。
二段階認証のあるサービスの場合は、オンにしておきましょう。
ログイン試行回数に制限をかける
ログイン試行回数に制限します。パスワード入力に〇回失敗したらロックされ、再入力には一定時間を要するといった制限です。
そのため、ログインを試行される回数が減り、破られる可能性も下がります。Webサイトやシステム管理側の対策で効果的です。
アクセス制限をかける
こちらも運営・管理側がおこなう対策です。特定IPアドレス以外からのアクセスを制限すると、攻撃されにくくなります。
例えば、海外からのものや通常と違うIPアドレスからのアクセスをブロックします。IPアドレス制限はサーバー各社で可能なので、チェックしてみてください。
ブルートフォースアタックによる影響
ブルートフォースアタックがおこなわれることで、管理側・ユーザー側ともに次のような不便が生じてしまいます。
パスワード入力が複雑化し手間が増える
パスワードを強固にするためには、複雑な文字列の設定が必要です。そのため、パスワード入力の手間が増えてしまいます。
しかし、パスワードを複雑にするのは、特に効果的な対策です。しっかり対策するほど、ログインが手間になるジレンマが生じます。
サーバーに負荷がかかり重くなる
サーバーへの攻撃では、数万~数億回など多数のアクセスを送られるため、サーバーが重くなります。すると、サイトなどの動きが遅くなり、不便になります。
CPUの異常負荷により、攻撃されていることに気づくケースもあります。
正規ユーザーまでログインできなくなる
ブルートフォースアタックを防ぐには、攻撃元のIPアドレスをブロックする方法が効果的です。
ただ、攻撃者はIPアドレスを変えてくるため、正規ユーザーまでブロックの対象になるといった本末転倒になってしまうこともあります。
まとめ
ブルートフォースアタックについて紹介しました。
多くの公式サイトやSNSではブルートフォースアタック対策がされていますが、パスワードはユーザーが設定するものです。ユーザー側もセキュリティ対策への意識をもつことが重要です。
また、Webサイトが乗っ取られてしまうとイメージダウンのダメージは大きいため、企業など運営側はしっかり対策する必要があります。
