お役立ち資料
Introduction
ログイン認証を突破するためのサイバー攻撃手法が、増えていることをご存じでしょうか。なかでもパスワードを固定し、ログインIDを何通りも入力してログイン認証を突破するリバースブルートフォース攻撃は、リスクが高いといわれています。
この記事では、リバースブルートフォース攻撃の基本情報やその性質、対策などについて解説します。
目次
リバースブルートフォース攻撃とは?
リバースブルートフォース攻撃とは、ログイン認証を突破するために、ログインIDとパスワードの組を不正に入手するサイバー攻撃です。
ここでは、リバースブルートフォース攻撃の基本概要や、そのほか同様の攻撃手法との違いについて解説します。
同一のパスワードに対してIDを変えながらログインを試行する攻撃
リバースブルートフォース攻撃とは、パスワードを固定して、ログインIDを総当たりして不正ログインを行う方法です。
総務省の『ウェブサービスに関するID・パスワードの管理・運用実態調査結果』によると、リバースブルートフォース攻撃は以下のように定義されています。
リバースブルートフォース攻撃
同一のパスワードに対してIDを変えながらログインを試行する攻撃
たとえば、パスワードとして使われることが多い「12345」や「password1」などを固定し、ログインIDとして考えられる文字列を総当たりして入力します。人が手動で何百万通りも入力するのは不可能ですが、ツールで入力すれば総当たりで入力することが可能です。
ブルートフォース攻撃との違い
リバースブルートフォース攻撃では、パスワードを固定してログインIDを総当たりします。一方、ブルートフォース攻撃は、ログインIDの方を固定して、パスワードを総当たりするものです。二つの攻撃方法は、総当たりする認証項目が異なることがわかります。
多くのログイン認証機能では、パスワードを3回間違えたらロックするなど、ロック機能が実装されていることがほとんどです。ロックすると一定時間ログインできなくなるため、攻撃者は時間をあけなければ攻撃を再開できません。
このロック機能があることで、ツールを使って無限にパスワードを変えて、入力をつづけられない仕組みになっています。ほとんどのログイン認証機能にロック機能が実装されているため、いまではブルートフォース攻撃が利用されることが少なくなってきました。
しかし、リバースブルートフォース攻撃の方は、ログインIDを総当たりする方法なので、ロックすることがありません。そのため、リバースブルートフォース攻撃の方が成功しやすく、リスクが高いことがわかります。
▽あわせて読みたい▽
>>ブルートフォース攻撃とは?手口や対策までわかりやすく解説のページへ
パスワードスプレーとの違い
パスワードスプレーとは、ひとつのパスワードを使い、複数のログインIDを入力して不正ログインを試みる方法です。ここまではブルートフォース攻撃と同じですが、いくつかのグループをつくっておき、アカウントがロックする前に別のグループで再度総当たり攻撃を行う点が異なります。異なるIPアドレスの端末を用意して、複数のグループを作成することもあります。
アカウントロック機能を避けるために、ブルートフォース攻撃を改善した攻撃方法といえるでしょう。この方法により、ブルートフォース攻撃よりも、成功率の高い攻撃を行うことが可能です。
このように、サイバー攻撃を行う側も攻撃方法を変え、成功率をあげる工夫をして、ログイン認証を突破しようとします。そのため、さまざまな攻撃手法を知っておき、対策を講じていく必要があります。
リバースブルートフォース攻撃がなぜ危険なのか
ここまでご説明した通り、リバースブルートフォース攻撃は、危険度が高いサイバー攻撃です。
なぜなら、アカウントロックの機能を実装しても回避できないためです。ブルートフォース攻撃は、アカウントロック機能で回避できますが、リバースブルートフォース攻撃は防げません。
また、実在するログインIDのリストなどを不正に入手できれば、さらに攻撃が成功しやすくなります。IDにメールアドレスが使われている場合や、IDの作成方法に規則性がある場合も多く、ログインIDは推測されやすいというリスクもあります。
リバースブルートフォース攻撃の対策
ここでは、リバースブルートフォース攻撃を防ぐために有効な対策についてご説明します。対策を行う際には、セキュリティレベルを高めていくことが重要で、その方法はいくつかあります。
会員サイトやECサイトなどを運用している場合は、認証レベルを高めて、顧客のログイン情報が盗まれないようにしなければなりません。ここでは、リバースブルートフォース攻撃を防ぐための対策について具体的にご説明するので、ぜひ参考にしてみてください。
多要素認証を設定する
IDとパスワードによる認証機能だけだと、ID・パスワードの組が見破られてしまえば、不正アクセスを許してしまいます。そこで、生体認証やワンタイムパスワードなど、ほかの要素による認証機能を追加すれば、IDとパスワードが不正に盗まれてしまっても、第三者にログインされることはありません。
このような多要素認証を設定すれば、リバースブルートフォース攻撃を受けても、実質的に被害を受けることはないでしょう。さらに、IDとパスワードの認証が成功したことを通知するメールを送信する機能などがあれば、正規の利用者はその通知を受けてパスワードを変更することが可能です。
多要素認証とログイン時のメール通知サービスなどを組み合わせることで、ログイン認証のセキュリティレベルを高められるでしょう。
多要素認証についてはこちらもご覧ください。
>>多要素認証(MFA)とは?認証方式の種類やメリットについて解説のページへ
長く複雑なパスワードを設定する
パスワードを長く複雑なものにすることで、IDとパスワードの組が見破られる確率が下がります。
たとえば、パスワードを「password」や「123456」などの簡単なものや、人名などの固有名詞を入れたものにすると、簡単に推測されてしまいます。リバースブルートフォース攻撃を行う際には、パスワードを固定してログインIDを総当たりしますが、最初に固定するパスワードを当てられなければ、攻撃が成功することはありません。
パスワードの桁数を増やす、文字種に英字、数字、記号を混在させる、大文字と小文字の区別を行うなどして、パスワードを複雑にする方法はとても有効です。そうすることで、パスワードを簡単に推測できなくなり、リバースブルートフォース攻撃の成功率を大幅に下げられるでしょう。
ほかの方法でセキュリティの強度をあげる
多要素認証を導入したり、パスワードの強度をあげたりする以外にも、ほかの方法でログイン認証のセキュリティ強度をあげることが可能です。
たとえば、「CAPTCHA」と呼ばれる方法があります。これは、ゆがんだ文字列の画像などを表示させ、その画像に書かれた文字列を入力させる方法です。人間なら、画像に記された文字列を認識して入力できます。しかし、パスワードやログインIDを総当たりして入力しつづけるツールは、このような画像の文字列を識別しにくいため、攻撃が止まってしまいます。
また、ログイン認証時にわざと遅延させることで、ツールで総当たり攻撃にかかる時間を長くして、攻撃しにくくさせるという方法もあります。
ログの監査を行う
システムへのアクセスログを監視することで、不審な挙動を繰り返すアクセスを特定できます。たとえば、同じIPアドレスからログイン認証を短時間に何度も繰り返す、明らかにツールによる大量のアクセスが発生しているなどの不審な挙動を検知できます。
そのようなアクセスを遮断することでも、リバースブルートフォース攻撃を防ぐことが可能です。
まとめ
この記事では、リバースブルートフォース攻撃の基本情報やその性質、対策などについて解説しました。リバースブルートフォース攻撃は、認証機能のセキュリティレベルを高めることで、回避することが可能です。
SHIFTでは、セキュリティソリューションの導入支援を行っています。企業内のシステムのセキュリティレベルを高めたい、セキュリティ運用を改善したいなどの場合は、お気軽にご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
WAFとは?仕組みや機能、導入するメリットをわかりやすく解説
2024.08.14
詳しく見る
-
- セキュリティ
OWASP Top 10 for LLMとは?生成AI開発の安全性を高める方法について解説
2024.08.19
詳しく見る
-
- セキュリティ
サンドボックスとは?仕組みや機能、導入するメリット・注意点を解説
2024.08.14
詳しく見る
-
- セキュリティ
VPN接続とは?仕組みやメリット・デメリット、安全に使うためのセキュリティ対策を解説
2024.08.02
詳しく見る
-
- セキュリティ
DMZとは?ネットワークの構築方法やメリット・デメリットを解説
2024.08.02
詳しく見る
-
- セキュリティ
SOARとは?意味やメリット・デメリット、導入手順について解説
2024.08.02
詳しく見る
-
- セキュリティ
OSINTとは?サイバーセキュリティでの活用方法や注意点について解説
2024.08.02
詳しく見る
-
- セキュリティ
IDS/IPSとは?機能や役割の違い、対策できる攻撃について解説
2024.07.29
詳しく見る
-
- セキュリティ
PAM(特権アクセス管理)とは?仕組みやメリット、活用方法を解説
2024.07.29
詳しく見る
-
- セキュリティ
シャドーITとは?発生する原因やインシデント事例、対策について解説
2024.06.28
詳しく見る
