CORPORATE SEARCH検索

ブルートフォース攻撃(総当たり攻撃)とは?被害事例や対策方法を紹介

ブルートフォース攻撃(総当たり攻撃)の脅威や、その攻撃手法についてご存知でしょうか?

ブルートフォース攻撃とは、考えられる全ての組み合わせを試してパスワードを突き止めるサイバー攻撃のことです。

リバースブルートフォース攻撃やパスワードリスト攻撃、辞書攻撃など、さまざまな手口が存在します。

ブルートフォース攻撃を効果的に防ぐには、複雑なパスワードの設定、使い回しの回避、アクセス制限などの多層的な対策が必要です。

この記事では、ブルートフォース攻撃の主な手口や被害リスク、効果的な対策方法について詳しく解説します。

目次

[ 開く ] [ 閉じる ]
  1. ブルートフォース攻撃(総当たり攻撃)とは
  2. ブルートフォース攻撃の主な手口
  3. 原初的な総当たり攻撃
  4. リバースブルートフォース攻撃
  5. 辞書攻撃
  6. ブルートフォース攻撃を受けた場合の被害リスク
  7. ブルートフォース攻撃の被害事例
  8. 決済サービスの大量不正アクセスにより5500万円の被害
  9. 生活協同組合が不正ログインを許しWebサイトを改ざん
  10. 送金・決済サービスで相次ぐ不正出金が発生
  11. ブルートフォース攻撃の主な対策方法
  12. パスワードを複雑にする
  13. パスワードの使い回しを避ける
  14. アクセス制限をかける
  15. 多要素認証を導入する
  16. ワンタイムパスワードを利用する
  17. 強固なセキュリティ環境の構築ならGMOサイバーセキュリティ byイエラエ
  18. まとめ

ブルートフォース攻撃(総当たり攻撃)とは

ブルートフォース攻撃(総当たり攻撃)とは、考えられる全ての組み合わせを試してパスワードを突き止める攻撃手法のことです。

攻撃者は可能性のあるパスワードを総当たりで入力し、不正ログインを試みます。

例えば、0〜9の数字のみ使用可能で6桁のパスワードを突き止める場合、100万通りの組み合わせ全てを入力するうちに、正しいパスワードがどこかで当たるという仕組みです。

近年では、自動化ツールを使って大量のパスワードを高速で試すことができるため、セキュリティを突破されるリスクが高くなっています。

一見単純な攻撃手法ですが、パスワード設定が甘いユーザーを狙い撃ちにできることから、今なお効果的な手法として用いられています。

【関連記事】サイバー攻撃とは?種類や被害事例、対策方法についてわかりやすく解説

ブルートフォース攻撃の主な手口

ブルートフォース攻撃には、いくつかの代表的な手口があります。以下、3つの主要な攻撃手法について解説します。

原初的な総当たり攻撃

ブルートフォース攻撃の中でも最も基本的な手口が、IDとパスワードの組み合わせを総当たりで試す方法です。

攻撃者は、ありとあらゆるIDとパスワードの組み合わせを機械的に生成し、それらを片っ端から試していきます。

この原初的な総当たり攻撃は、膨大な時間と計算リソースを必要とするため、攻撃者はツールやソフトウェアを駆使して効率化を図ります。

サービス提供者は、一定回数以上ログインに失敗した場合、アカウントをロックするなどの対策を講じることが重要です。

リバースブルートフォース攻撃

リバースブルートフォース攻撃は、よく使われそうなパスワードを固定し、IDの組み合わせを総当りで試みる方法です。

ブルートフォース攻撃とは反対の攻撃であることから、リバースブルートフォース攻撃という名称がついています。

例えば、「password」や「123456」などの文字列は誰でも思いつきやすく、パスワードに設定している場合が多いため、こういった安易なパスワードを固定し、IDの総当たりで不正アクセスを試みます。

一定回数パスワードを間違えるとアカウントがロックされてしまうことから、この攻撃手法が生まれました。

辞書攻撃

辞書攻撃は、辞書に載っている単語を組み合わせてパスワードを推測する手法です。

一般的な単語や人名、地名などを含むパスワードを生成し、不正ログインを試行します。

例えば、「apple1234」や「chicago2023」といった、ユーザーが思いつきそうな単語の組み合わせを狙います。

辞書攻撃の被害を防ぐためには、一般的な単語や推測しやすい言葉をパスワードに使わないことが大切です。

ブルートフォース攻撃を受けた場合の被害リスク

企業や組織がブルートフォース攻撃を受けた場合、その被害リスクは甚大です。

パスワードを破られたアカウントは、攻撃者に不正ログイン(アカウントの乗っ取り)される恐れがあります。

なりすまし行為による二次被害のリスクも高く、SNSでの誹謗中傷や詐欺行為など、さまざまな犯罪に悪用される恐れがあるのです。

ほかにも、システムの停止に追い込まれたり、踏み台攻撃に利用されたりする可能性もあるため注意が必要です。

場合によっては、不正ログインによる機密情報の漏洩やWebサイトの改ざんにより、金銭的被害に繋がるケースもあります。

【関連記事】不正アクセスとは?代表的な手口と被害に遭わないための対策

ブルートフォース攻撃の被害事例

ブルートフォース攻撃の被害事例は、日本国内でも複数件確認されています。ここでは、ブルートフォース攻撃の代表的な被害事例を3つ紹介します。

決済サービスの大量不正アクセスにより5500万円の被害

2019年7月、A社が手掛ける決済サービスで大量不正アクセスがあり、約900名/約5500万円の被害が生じました。

同決済サービスでは、アカウントIDとパスワードさえあればログインできる状態になっており、二段階認証などは採用していませんでした。

そのため、ブルートフォース攻撃などの手段によって不正ログインが容易に行える状態にあったとされ、結果として大規模な金銭的被害へと発展しています。

生活協同組合が不正ログインを許しWebサイトを改ざん

2019年11月、とある生活協同組合はブルートフォース攻撃によりパスワードが破られ、同社Webサイトへの不正アクセスを許してしまいました。

結果としてWebサイトは改ざんされ、攻撃者によってマルウェアが設置されました。

この問題を受け、同年11月7日にWebサイトを閉鎖。同組合は、セキュリティ環境を整備した後、新たなサーバーへ移行してWebサイトを再開しました。

送金・決済サービスで相次ぐ不正出金が発生

2020年9月、とある送金・決済サービスを利用して、銀行から不正出金する被害が相次いで発生しました。

宮城県仙台市の七十七銀行は同年9月7日、同行の顧客に被害があったとして同決済サービスへの新規登録を停止しました。

サービス提供会社も、「他人になりすまして口座を開設することが可能な状況だった」と不備を認めています。

不正利用の原因としては、リバースブルートフォース攻撃やパスワードスプレー攻撃の可能性が高いとみられています。

ブルートフォース攻撃の主な対策方法

ブルートフォース攻撃への対策は多岐にわたりますが、特に重要な対策方法を5つ紹介します。

これらの対策を適切に組み合わせることで、ブルートフォース攻撃の被害リスクを軽減できるでしょう。

パスワードを複雑にする

推測されにくい複雑なパスワードを設定することが、ブルートフォース攻撃対策の基本中の基本です。

長めの英数字と記号をランダムに組み合わせ、定期的に変更するのが理想的といえるでしょう。

パスワードの長さは最低でも12文字以上が推奨されており、長ければ長いほど安全性は高まります。

▼複雑なパスワードの一例

  • 数字 + 小文字 + 大文字:1234abcdABCD
  • 大文字 + 特殊文字 + 数字:ABCD!@#$1234
  • 小文字 + 数字 + 特殊文字:abcd1234!@#$

大文字と小文字、数字、記号を含むことで、総当たり攻撃の難易度が格段に上がります。

また、一定期間ごとにパスワードを変更する習慣を付けることで、万が一漏洩した場合の被害を最小限に抑えられます。

【関連記事】パスワードの強度を確かめる方法|危険なパスワードと安全性を高める方法

パスワードの使い回しを避ける

同じパスワードを複数のサービスで使い回すことは、セキュリティ上のリスクを大きく増大させてしまいます。

ブルートフォース攻撃による被害拡大を防ぐために、サービスごとに異なるパスワードを設定し、管理ツールを活用して一元管理するのが賢明です。

また、ユーザーIDの使い回しも避けたほうが無難であり、可能な限り一意のIDを設定することが望ましいといえます。

パスワード管理ツールを使えば、複数のアカウント情報を安全かつ効率的に管理でき、セキュリティと利便性を両立できます。

アクセス制限をかける

社外からのアクセスを制限することで、多くのブルートフォース攻撃を無効化できます。

ブルートフォース攻撃は、社外のIPアドレスから行われることが多いため、外部アクセスを制限すればある程度のリスクを防げます。

しかし、社内のパソコンを乗っ取られた場合、内部からの不正アクセスとなるため防ぐことは困難です。

多方向からの不正アクセスを防ぐためにも、他の対策と併用してセキュリティ環境を整えましょう。

【関連記事】アクセス制御とは?基本機能から種類・モデルまでを徹底解説

多要素認証を導入する

ID・パスワードに加え、別の認証要素を組み合わせる多要素認証は、ブルートフォース攻撃の対策に非常に有効です。

例えば、SMSで送られる認証コードや生体認証、ハードウェアトークンなどを併用するのが良いでしょう。

仮にパスワードが漏洩したとしても、追加の認証要素をクリアしなければログインできないため、不正アクセスのリスクを大幅に軽減できます。

ただし、ユーザーの利便性を損なわないよう、認証方式の選定には十分な注意が必要です。多要素認証の詳細については以下の記事で解説しています。

【関連記事】多要素認証(MFA)とは?二要素認証・二段階認証との違いやメリットを解説

ワンタイムパスワードを利用する

ワンタイムパスワードを導入することで、ブルートフォース攻撃を事実上無力化できるといっても過言ではありません。

ワンタイムパスワードとは、1回きりしか使えない使い捨てのパスワードのことを指します。

認証のたびにランダムに生成されるため、たとえ傍受されてもセキュリティは担保されるのが大きな特徴です。

セキュリティの高さから、大手の金融機関でもワンタイムパスワードが採用されています。

強固なセキュリティ環境の構築ならGMOサイバーセキュリティ byイエラエ

GMOサイバーセキュリティ byイエラエ

画像引用元:GMOサイバーセキュリティ byイエラエ

GMOサイバーセキュリティbyイエラエ」は、国内トップクラスのホワイトハッカーが在籍するサイバーセキュリティ会社です。

高度な技術力を駆使した脆弱性診断・ペネトレーションテストにより、システムやサービスの弱点を洗い出し、リスクを可視化します。

診断結果を基に、セキュリティ課題の解決に向けた具体的な対策をご提案し、お客様の実情に合わせたソリューションを提供いたします。

ブルートフォース攻撃をはじめとするサイバー攻撃の脅威を未然に防ぎたい企業様は、ぜひ当社のサービス利用をご検討ください。

まとめ

この記事では、ブルートフォース攻撃の主な手口や被害リスク、効果的な対策方法について解説しました。

リバースブルートフォース攻撃やパスワードリスト攻撃、辞書攻撃などの手口を理解し、適切な対策を講じることが重要です。

具体的には、複雑なパスワードの設定、使い回しの回避、アクセス制限、多要素認証、ワンタイムパスワードの導入など、多層的なアプローチが求められます。

ブルートフォース攻撃をはじめとするサイバー脅威から大切な情報資産を守るために、「GMOサイバーセキュリティ byイエラエ」のソリューションをぜひご検討ください。

文責:GMOインターネットグループ株式会社