Introduction
ログインIDとパスワードで認証を行う場合、パスワードを見破られると、第三者に簡単にログインを許してしまいます。パスワードが第三者に渡らなければ問題ないのですが、ブルートフォース攻撃という総当たり攻撃を受けた場合、見破られてしまうこともあるのです。ブルートフォース攻撃に備えるためには、どのようなセキュリティ対策を行うべきなのでしょうか。
この記事では、ブルートフォース攻撃とはどのような仕組みのサイバー攻撃なのか、攻撃を受けるとどのような被害が起きるのか、必要な対策などについて解説します。
目次
ブルートフォース攻撃(総当たり攻撃)とは?
ブルートフォース攻撃とは、総当たり攻撃とも呼ばれます。パスワードのすべての組み合わせを試して入力し、パスワードを見破るサイバー攻撃のことです。
ここでは、ブルートフォース攻撃とは、どのようなサイバー攻撃なのかをご説明します。
サイバー攻撃についてはこちらもご覧ください。
>>サイバー攻撃とは?種類や日本での被害事例、対策について解説しますのページへ
同一IDに対してパスワードを変更しながらログインを試行する攻撃
ブルートフォース攻撃とは、同一のIDに対して考えられるパスワードの組み合わせを試して、不正ログインを行うサイバー攻撃のことです。
総務省 情報セキュリティ対策室の『ウェブサービスに関するID・パスワードの管理・運用実態調査結果のポイント』によると、以下のように定義されています。
ブルートフォース攻撃
同一IDに対してパスワードを変更しながらログインを試行するブルートフォース攻撃
たとえば、ログインIDと、6桁の暗証番号を入力するログイン認証があったとします。ログインIDが特定できれば、000001~999999までの100万通りの暗証番号を入力すれば、いつかログインできます。
数字だけの暗証番号でも数が多く、パスワードは英字や数字、大文字、小文字、記号などを使うので、組み合わせは膨大です。そのため、人間はこのような手間をかけられません。
しかし、指定された文字種のパスワードを全通り入力するツールをつくってしまえば、簡単にパスワードの総当たりを試せてしまいます。ツールを作成する技術があれば、ブルートフォース攻撃は簡単に実行できてしまうのです。
ブルートフォース攻撃のような攻撃は「辞書攻撃」とも呼ばれ、ほかにもさまざまな種類の攻撃方法が存在します。
パスワードリスト攻撃とは?
パスワードリスト攻撃は、ブルートフォース攻撃と同じ辞書攻撃のなかの一つです。
企業のデータサーバーなどに不正アクセスしたり、情報を抜き出すマルウェアをしかけたりして、パスワード情報を不正に入手されてしまうことがあります。このように、不正に入手したパスワード情報などを利用してリスト化し、成功率が高い順番にログイン攻撃を試みる方法がパスワードリスト攻撃です。
ブルートフォース攻撃は総当たり攻撃なので、理論的にはいつかパスワードを見破ることが可能ですが、時間がかかります。しかし、パスワードリスト攻撃は、パスワードとして使われる可能性が高い文字列を試すので、成功率が高いといえます。
リバースブルートフォース攻撃とは?
ブルートフォース攻撃はログインIDを固定し、パスワードを総当たりして試す方法です。一方、リバースブルートフォース攻撃はその逆で、パスワードを固定してログインIDを変えて試す方法です。パスワードではなく、ログインIDを総当たりして見破ることで、不正ログインを行うのです。
たとえば「password01」というパスワードを固定して、ログインIDをいくつも試していくと、いつか当たりのログインIDを入力できてログインできます。
通常、ログイン認証には「パスワードを3回間違えたらロックがかかり、一定時間ログインできない」などの仕様があります。これは、ブルートフォース攻撃を防ぐための仕様です。しかし、リバースブルートフォース攻撃なら、このようなアカウントロックの仕様を回避できてしまいます。
ブルートフォース攻撃を受けるとどうなる?
ブルートフォース攻撃を受けて、第三者による不正ログインが成功してしまうと、どのようなことが起きるのでしょうか。ここでは、ブルートフォース攻撃を受けると、具体的にどのような被害にあうのかをご説明します。
システムやWebサービスを乗っとられる
第三者がシステムやWebサービスのアカウントにログインできてしまうことで、乗っとりが発生します。システムやWebサービスを勝手に変更されたり、顧客情報を盗まれたりすることで、大きな被害を受けるでしょう。
たとえば、SNSのアカウントが乗っとられると、そのユーザー以外の第三者になりすまされてしまいます。とくに企業アカウントが乗っとられると、大きなイメージダウンになってしまうでしょう。
Webサイトが改ざんされる
Webサイトの管理者アカウントなどが乗っとられた場合、Webサイトの内容が勝手に改ざんされる可能性があります。企業サイトが改ざんされると、サイトの閉鎖に追い込まれる可能性もあり、ユーザーへの説明や再発防止なども必要です。企業にとって、大きなダメージになるでしょう。
個人情報・機密情報が漏洩する
企業の社内ネットワークやシステムなどのアカウントに侵入されることで、企業内の重要な個人情報や機密情報が漏洩する可能性もあります。
社内のデータサーバーなどにアクセスし、社員名簿や顧客名簿などが盗まれる、商品開発に関する情報などが漏洩するなどが考えられます。個人情報や機密情報の流出は、企業にとってもっとも大きなダメージになるでしょう。
金銭的な被害を受ける
企業が情報漏洩やなりすまし、乗っとりなどが発生すると、金銭的な被害も発生します。
サイトやシステムの閉鎖による金銭的被害、復旧のためにかかるコスト、企業のイメージダウンによる売上の減少などが考えられます。一度落ちた企業の信用をとり戻すことはむずかしく、金銭的被害がつづくこともあるでしょう。
ほかのシステム・Webサービスへも不正アクセスが繰り返される
一つのシステムやサービスに不正アクセスが行われると、同様にほかのシステムやサービスへも被害が発生することもあります。同じ企業が運営するシステムやサービスの場合、セキュリティレベルが同程度であることが多く、同じ手口でログインアタックが成功する可能性が高いことも理由として考えられます。
とくに同じような規則性のIDやパスワードを使っている場合は、要注意です。
ウイルスやマルウェアの踏み台にされる
一度不正ログインされたシステムやパソコンなどを踏み台にして、ウイルスやマルウェアがばらまかれることもあります。
たとえば、乗っとられたWebサイトにウイルスが仕込まれ、そのサイトにアクセスした端末がウイルスに感染するなども考えられます。
▽あわせて読みたい▽
>>マルウェアとは?特徴や種類、感染経路を理解し、事前・事後対策する方法を紹介のページへ
ブルートフォース攻撃の対策
ブルートフォース攻撃の被害にあわないようにするための対策について、ご説明します。普段から対策を行い、セキュリティレベルを高めておく必要があるでしょう。
強力なパスワードを設定する
パスワードを設定するルールを厳格化し、強力なパスワードを設定すると、攻撃を受けても突破されにくくなります。たとえば、8桁以上の長さにして数字と英字を使う、英字は大文字と小文字を混ぜるなど、簡単に見破られないようにしましょう。
また、パスワードを意味のある単語にすると、見破られやすくなります。たとえば、パスワードを忘れないようにログインするWebサイトの名前からとる、自分の名前を使うなどでは、簡単に推測されてしまいます。
パスワードを設定する際は、長さや文字種などを厳格に規定することで、見破られにくいようにしましょう。
パスワードを使いまわさない
複数のシステムやWebサイトを利用する際に、すべて同じパスワードにすることがあります。すべて同じパスワードにすれば、パスワードを一つ覚えておけばよいので、ユーザーとしては使いやすいでしょう。
しかし、一つのサービスでパスワードが見破られてしまうと、ほかのサービスも不正ログインされてしまう危険があります。そのため、複数のサービスで同じパスワードを使いまわすことは、おすすめしません。
ログイン回数を制限する
ブルートフォース攻撃は、IDを固定してパスワードを何度も入力する攻撃方法です。そのため、パスワードを間違えた回数が5回以上を超えるとロックし、一定時間経過しないと入力できないなどのログイン回数制限を行うと、効果的です。
ログイン回数制限を設けることで、パスワードを無限に入力しつづけることが困難になり、連続してブルートフォース攻撃を受けることがなくなります。
多要素認証を導入する
IDとパスワードの組の認証だけではなく、ほかの認証要素も追加することで、パスワードが見破られても不正にログインされることを防げます。
たとえば、セキュリティコードの入力、SMSによる認証コードの発行、生体認証など、ほかの認証要素を追加します。このように多要素認証にすることで、ブルートフォース攻撃を受けてパスワードが見破られても、ログインされるリスクを下げることが可能です。
▽あわせて読みたい▽
>>多要素認証(MFA)とは?認証方式の種類やメリットについて解説のページへ
ワンタイムパスワードを利用する
ワンタイムパスワードとは、ログインするたびに発行される、一度しか使わないパスワードのことです。
ワンタイムパスワードの寿命は短く、5分間など短い期間しか使えません。また、一度使ったらその後は二度と使えない、使い切りのパスワードです。そのため、その短い期間に見破られる可能性は非常に低く、ブルートフォース攻撃で見破られる可能性はほとんどないでしょう。
ワンタイムパスワードを利用するためには、ワンタイムパスワードを発行するトークンやSMSなどで受信するなどの必要があります。そのため、単純なログインIDとパスワードの組を使うよりも複雑な仕組みが必要ですが、そのぶんセキュリティレベルが高まるでしょう。
▽あわせて読みたい▽
>>OTP(ワンタイムパスワード)とは?種類や導入するメリットを解説のページへ
IPアドレスやポートのフィルタリングを設定する
ブルートフォース攻撃の場合、一つのIPアドレスからパスワードを変えて、何度もアクセスしてくることが多いです。そのため、特定のIPアドレスやポートからのアクセスが明らかに多すぎる場合は、そのアドレスからのアクセスを制限すると、ブルートフォース攻撃を防げる可能性があります。
ただし、IPアドレスやポートを変えて攻撃をされると防げないので、注意が必要です。
不正アクセスを検知できるシステムを導入する
特定のIPアドレスから大量のアクセスがあるなど、不審な挙動を検知するシステムを導入することで、ブルートフォース攻撃を防げる可能性が高まります。
ブルートフォース攻撃はログインIDを固定し、ツールでパスワードを変えて、何度もアクセスしてくる攻撃です。そのため、アクセス状況を監視できれば、未然に防げる可能性があります。
社内ネットワークやWebサイトなどへのアクセス状況を監視し、不審なアクセスを検知できるシステムがあれば、ブルートフォース攻撃のようなサイバー攻撃を防げるでしょう。
まとめ
この記事では、ブルートフォース攻撃とはどのような仕組みのサイバー攻撃なのか、攻撃を受けるとどのような被害が起きるのか、必要な対策などについて解説しました。
パスワードの総当たり攻撃であるブルートフォース攻撃は、ツールを作成すれば簡単に実行できてしまいます。そのため、普段からブルートフォース攻撃を受けないように、セキュリティ対策を行っておくことが重要です。
SHIFTでは、ブルートフォース攻撃への対策だけでなく、お客様の環境にあわせた最適なセキュリティモデルの導入支援を行っています。単なるツールや製品の導入だけでなく、それぞれの環境にあった最適なゼロトラストアーキテクチャを作成し、ソリューションを選定いたします。社内のセキュリティ対策を強化したい場合には、ぜひお気軽にご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ