ブルートフォース攻撃とは?
ブルートフォース攻撃(ブルートフォースアタック)とは、日本語では「総当たり攻撃」や「力任せ攻撃」と言われる、想定されるすべてのパスワードのパターンを総当たりで試行し、認証の突破を試みるサイバー攻撃手法です。正確には、サイバー犯罪者がパスワードを不正に入手するために、推測されるあらゆる数字や文字列を総当たりで試し、パスワードを解読しようとします。
ブルートフォース攻撃によるログイン方法は、アカウントとパスワードを使用してログインするという従来のログイン方法と何ら変わりません。そのため、仮にブルートフォース攻撃でデバイスやサーバーなどの認証が突破された場合、本物のアクセスと見分けがつきにくいため、不正利用が非常に検知しにくい状況となります。また、別のケースでは、何度もログインを試すことでサーバーに負荷をかけて、サーバーのダウンを狙うという方法も報告されています。
ブルートフォース攻撃のやり方
ここでは、ブルートフォース攻撃がどうやって仕掛けられているのかを解説します。
ブルートフォース攻撃の具体的な手法としては、理論的に考えられるパスワードのすべての組み合わせのパターンを入力するというシンプルな暗号解読方法です。たとえば、金庫やトランクのダイヤル錠などでよく使用されているパスワードが6桁の数字の場合、時間はかかるかもしれませんがサイバー犯罪者達は100万回もの6桁の数字の全ての組み合わせを片っ端から試すことでいずれ正しいパスワードを引き出すことができます。
しかし、近年は数字に加えて大小アルファベットや記号などを含めた長いパスワードが主流になっており、そのような複雑なパスワードを割り出すためにはより多くの時間と計算能力が必要になり、手動で行なうのはほぼ不可能に近いのが現状です。ただ、時代の進化とともに特殊なソフトウェアの登場やコンピュータの性能が向上し、何百万もの組み合わせを自動で計算することが可能になり、ブルートフォース攻撃によるパスワードを割り出す時間を大幅に短縮できるようになりました。
さらに最近の多くのウェブサイトでは、パスワードを暗号化したり、メールやSMSによる二段階認証を求めたり、 生体認証 を導入したり、自動生成するサービスが登場したことで、セキュリティ面がより堅固になり、安全にパスワードを保護できるようになりました。
ブルートフォース攻撃の手法
ブルートフォース攻撃に分類される サイバー攻撃の種類 は、いくつかありますが、ここではサイバー犯罪者達がよく使う手法を紹介します。
辞書攻撃
ブルートフォース攻撃は、あらゆる文字列を機械的に試し続けることで、パスワードを探し出す攻撃手法ですが、この 辞書攻撃 は辞書に載っている単語を次々と試して、パスワードを割り出してログインを試みる手法です。一般的に名前や都市名、具体的な物をパスワードに使用するというのはよくあることです。また、「abc123」のようなパスワードによく使用される英数字と数字の組み合わせによる推測も行ないます。
リバースブルートフォース攻撃
従来のブルートフォース攻撃とは違い、このリバースブルートフォース攻撃は、その名の通り、逆のテクニックを使う攻撃方法です。 悪意のあるハッカー は、一般的に良く使用されているパスワードを固定し、IDを総当たりで入力してアカウントへの侵入を試みます。この手法は、特定の個人をターゲットではなく、無作為に複数のアカウントに侵入する機会を狙う場合に使用されます。
上記2つの手法はブルートフォース攻撃を仕掛けてくるサイバー犯罪者の常套手段ともいえますが、これらに加えて ボットネットを使用 することでより大規模な攻撃を仕掛けたり、セッションIDやCookieを盗んで本人になりすまし、さまざまな情報が悪用される セッションハイジャック攻撃 など、私達は自分でも気づかないうちに多くの被害に遭ってしまう可能性があります。
ブルートフォース攻撃の危険性
ここからは、ブルートフォース攻撃を受けた場合に想定される被害などの危険性について解説します。
アカウントの乗っ取り
ブルートフォース攻撃によってログインされてしまうと、アカウントが乗っ取られることになります。 アカウント乗っ取り は、FacebookやInstagramなどのSNSをはじめ、オンラインバンキング、サブスクリプション形式の動画視聴サービスなど、広範囲に及ぶオンラインサービスで被害事例が報告されています。一度乗っ取られてしまうと、サイバー犯罪者がユーザーになりすましてサービスを利用するだけでなく、個人情報を漏えいさせたり、家族や友人を騙して詐欺を仕掛ける可能性があります。
また、システム管理者のアカウントが不正ログインされてしまうと、そのシステム自体が乗っ取られて犯罪行為に悪用され、サービスの価値や顧客からの信頼が大きく損なわれてしまいかねません。さらに恐ろしいことに、複数のオンラインサービスでパスワードを使い回しをしていた場合、ある特定のアカウントに不正ログインされてしまうと、次々と乗っ取りの被害に遭ってしまう可能性があります。
情報漏えい
ブルートフォース攻撃によって不正ログインされた場合、何かしらの情報が漏えいする可能性があります。個人アカウントの場合、個人情報やサービス内の利用履歴、支払い情報が漏えいし、企業などのアカウントの場合は会社内の機密データが流出してしまいかねません。また、仮にシステムのデータベースに不正ログインされてしまうと、データベースの内容を全て盗まれてしまう恐れがあります。最悪の場合は、自分の個人情報が ダークウェブ上 で売られてしまう可能性があります。
ウェブサイトの改ざん
ウェブサイトを管理するアカウントもブルートフォース攻撃の主なターゲットになります。ウェブサイトの内容の改ざんをはじめ、犯罪行為の中継地として悪用するためなど、サイバー犯罪者がウェブサイトに不正ログインする目的は様々です。しかし、顧客情報が流出したり、社会的な信頼を失ってしまうなど、改ざんされたウェブサイトの持ち主や企業が被害を受けるのは間違いないでしょう。
クレジットカードの不正利用
長年に渡ってブルートフォース攻撃の主なターゲットとなっているのがクレジットカードやオンラインバンキングなどの金融サービスです。特に最近は、オンラインサービスの増加を受けて決済のデジタル化が加速したこともあり、多くの個人や企業が被害に遭っています。特にクレジットカードの不正利用は、国内外問わず数多くの事件が発生しています。
ブルートフォース攻撃の対策
ブルートフォース攻撃は、シンプルで古典的な攻撃なので、普段からしっかりと対策をしていれば防ぐことができます。ここでは、ブルートフォース攻撃(総当たり攻撃)に対する有効な対策方法をいくつか紹介します。
パスワード管理
ブルートフォース攻撃の被害に遭わないためにも、複雑かつ 忘れない強力なパスワードを作る ことが重要です。「123456」という単純な文字列をはじめ、名前や生年月日などの個人を特定できる情報を使用している人が多いですが、この場合はサイバー犯罪者にすぐにバレてしまう可能性が高いでしょう。パスワードを設定する場合は、個人を特定できる情報や簡単な文字列を使用せずに、記号や数字、大小のアルファベットを含め最低10文字以上の長い複雑なパスワードにすることで推測されにくくなります。
しかし、パスワードが複雑な場合はどうしても忘れてしまう可能性もあります。そのような場合、 パスワードマネージャー を使用することで、複雑なパスワードの管理や生成、自動入力を任せることができます。これにより、自分でパスワードを覚えておく必要がなくなり、安全性を保つことができます。
また、パスワードは同じものを長期間使用していると推測されやすくなるので、定期的に変更することも覚えておきましょう。そして、同じIDやパスワードを他のオンラインサービスで使い回しをしないことで万が一、特定のサービスのID・パスワードが被害に遭った場合でも最小限に抑えられます。
多要素認証
オンラインサービスにログインする際に既存のIDとパスワードでのログイン方法に加え、二段階認証などの 多要素認証 を設定することで、第三者からの不正ログインを防ぐことができます。多要素認証として、スマホやアプリへの認証コードや指紋などの生体認証を設定することでよりセキュリティ面が強化され、ブルートフォース攻撃をはじめとする不正アクセスから保護します。
アクセス制限
企業へのブルートフォース攻撃のほとんどは、主に社外のIPアドレスを使用して仕掛けられます。しかし、社内ネットワークやシステムへのアクセスを制限することで、ある程度防ぐことが可能です。ただし、会社用のパソコンや スマホを乗っ取られて ブルートフォース攻撃された場合は有効的とはいえず、別な対策が必要になるので注意しましょう。
ブルートフォース攻撃の事例と被害状況
ここからは、過去にブルートフォース攻撃によって起きた事例とその被害について解説します。
- JP共済生協のウェブサイトが改ざん: 2019年11月、JP共済生協(日本コープ共済生活協同組合連合会)がブルートフォース攻撃によってアカウント情報が流出してしまい、結果的にウェブサイトへ不正にアクセスされてマルウェアが仕組まれ、サイトが一時閉鎖に追い込まれるなどの被害を受けました。その後、マルウェアの設置に利用されたファイル転送サービスのアクセス制御設定を変更し、サーバーを移行するなどの措置を取ることでセキュリティ強化しました。なお、この被害による情報漏えいはないと公表しています。
- 7pay登録者のクレジットカードなどが不正利用の被害: 株式会社セブン・ペイが提供していたスマートフォン決済サービス7payが、2019年7月3日に一部のアカウントがブルートフォース攻撃などによる不正アクセスを受けてしまい、不正利用されました。この事件では、登録ユーザーの約900人が登録したクレジットカードやデビットカードから勝手にチャージされ、セブンイレブンの店舗で不正に買い物をされるなどし、被害総額は5500万円にものぼりました。この決済サービスは、二段階認証を導入しておらず、IDとパスワードだけでサービスが利用可能というセキュリティ面が非常に甘かったことで多くの批判を受け、2019年9月30日でサービスが終了しました。
ワンクリックでオンラインセキュリティ対策を。
世界をリードするVPNで安全を確保