リバースブルートフォース攻撃とは？ブルートフォース攻撃との違いや危険性、対策を解説

リバースブルートフォース攻撃とは、ログイン認証を突破するために、ログインIDとパスワードの組を不正に入手するサイバー攻撃です。

ここでは、リバースブルートフォース攻撃の基本概要や、そのほか同様の攻撃手法との違いについて解説します。

リバースブルートフォース攻撃とは、パスワードを固定して、ログインIDを総当たりして不正ログインを行う方法です。

総務省の『ウェブサービスに関するID・パスワードの管理・運用実態調査結果』によると、リバースブルートフォース攻撃は以下のように定義されています。

たとえば、パスワードとして使われることが多い「12345」や「password1」などを固定し、ログインIDとして考えられる文字列を総当たりして入力します。人が手動で何百万通りも入力するのは不可能ですが、ツールで入力すれば総当たりで入力することが可能です。

リバースブルートフォース攻撃では、パスワードを固定してログインIDを総当たりします。一方、ブルートフォース攻撃は、ログインIDの方を固定して、パスワードを総当たりするものです。二つの攻撃方法は、総当たりする認証項目が異なることがわかります。

多くのログイン認証機能では、パスワードを3回間違えたらロックするなど、ロック機能が実装されていることがほとんどです。ロックすると一定時間ログインできなくなるため、攻撃者は時間をあけなければ攻撃を再開できません。

このロック機能があることで、ツールを使って無限にパスワードを変えて、入力をつづけられない仕組みになっています。ほとんどのログイン認証機能にロック機能が実装されているため、いまではブルートフォース攻撃が利用されることが少なくなってきました。

しかし、リバースブルートフォース攻撃の方は、ログインIDを総当たりする方法なので、ロックすることがありません。そのため、リバースブルートフォース攻撃の方が成功しやすく、リスクが高いことがわかります。

▽あわせて読みたい▽
＞＞ブルートフォース攻撃とは？手口や対策までわかりやすく解説のページへ

パスワードスプレーとは、ひとつのパスワードを使い、複数のログインIDを入力して不正ログインを試みる方法です。ここまではブルートフォース攻撃と同じですが、いくつかのグループをつくっておき、アカウントがロックする前に別のグループで再度総当たり攻撃を行う点が異なります。異なるIPアドレスの端末を用意して、複数のグループを作成することもあります。

アカウントロック機能を避けるために、ブルートフォース攻撃を改善した攻撃方法といえるでしょう。この方法により、ブルートフォース攻撃よりも、成功率の高い攻撃を行うことが可能です。

このように、サイバー攻撃を行う側も攻撃方法を変え、成功率をあげる工夫をして、ログイン認証を突破しようとします。そのため、さまざまな攻撃手法を知っておき、対策を講じていく必要があります。

ここまでご説明した通り、リバースブルートフォース攻撃は、危険度が高いサイバー攻撃です。

なぜなら、アカウントロックの機能を実装しても回避できないためです。ブルートフォース攻撃は、アカウントロック機能で回避できますが、リバースブルートフォース攻撃は防げません。

また、実在するログインIDのリストなどを不正に入手できれば、さらに攻撃が成功しやすくなります。IDにメールアドレスが使われている場合や、IDの作成方法に規則性がある場合も多く、ログインIDは推測されやすいというリスクもあります。

ここでは、リバースブルートフォース攻撃を防ぐために有効な対策についてご説明します。対策を行う際には、セキュリティレベルを高めていくことが重要で、その方法はいくつかあります。

会員サイトやECサイトなどを運用している場合は、認証レベルを高めて、顧客のログイン情報が盗まれないようにしなければなりません。ここでは、リバースブルートフォース攻撃を防ぐための対策について具体的にご説明するので、ぜひ参考にしてみてください。

IDとパスワードによる認証機能だけだと、ID・パスワードの組が見破られてしまえば、不正アクセスを許してしまいます。そこで、生体認証やワンタイムパスワードなど、ほかの要素による認証機能を追加すれば、IDとパスワードが不正に盗まれてしまっても、第三者にログインされることはありません。

このような多要素認証を設定すれば、リバースブルートフォース攻撃を受けても、実質的に被害を受けることはないでしょう。さらに、IDとパスワードの認証が成功したことを通知するメールを送信する機能などがあれば、正規の利用者はその通知を受けてパスワードを変更することが可能です。

多要素認証とログイン時のメール通知サービスなどを組み合わせることで、ログイン認証のセキュリティレベルを高められるでしょう。

多要素認証についてはこちらもご覧ください。
＞＞多要素認証（MFA）とは？認証方式の種類やメリットについて解説のページへ

パスワードを長く複雑なものにすることで、IDとパスワードの組が見破られる確率が下がります。

たとえば、パスワードを「password」や「123456」などの簡単なものや、人名などの固有名詞を入れたものにすると、簡単に推測されてしまいます。リバースブルートフォース攻撃を行う際には、パスワードを固定してログインIDを総当たりしますが、最初に固定するパスワードを当てられなければ、攻撃が成功することはありません。

パスワードの桁数を増やす、文字種に英字、数字、記号を混在させる、大文字と小文字の区別を行うなどして、パスワードを複雑にする方法はとても有効です。そうすることで、パスワードを簡単に推測できなくなり、リバースブルートフォース攻撃の成功率を大幅に下げられるでしょう。

多要素認証を導入したり、パスワードの強度をあげたりする以外にも、ほかの方法でログイン認証のセキュリティ強度をあげることが可能です。

たとえば、「CAPTCHA」と呼ばれる方法があります。これは、ゆがんだ文字列の画像などを表示させ、その画像に書かれた文字列を入力させる方法です。人間なら、画像に記された文字列を認識して入力できます。しかし、パスワードやログインIDを総当たりして入力しつづけるツールは、このような画像の文字列を識別しにくいため、攻撃が止まってしまいます。

また、ログイン認証時にわざと遅延させることで、ツールで総当たり攻撃にかかる時間を長くして、攻撃しにくくさせるという方法もあります。

システムへのアクセスログを監視することで、不審な挙動を繰り返すアクセスを特定できます。たとえば、同じIPアドレスからログイン認証を短時間に何度も繰り返す、明らかにツールによる大量のアクセスが発生しているなどの不審な挙動を検知できます。

そのようなアクセスを遮断することでも、リバースブルートフォース攻撃を防ぐことが可能です。

この記事では、リバースブルートフォース攻撃の基本情報やその性質、対策などについて解説しました。リバースブルートフォース攻撃は、認証機能のセキュリティレベルを高めることで、回避することが可能です。

SHIFTでは、セキュリティソリューションの導入支援を行っています。企業内のシステムのセキュリティレベルを高めたい、セキュリティ運用を改善したいなどの場合は、お気軽にご相談ください。

＞＞SHIFTのセキュリティソリューションのページへ
＞＞お問い合わせページへ
＞＞料金についてページへ