ブルートフォース攻撃とは？ 4つの対策や事例を紹介

ブルートフォース攻撃（ブルートフォースアタック）とは

ブルートフォース攻撃（ブルートフォースアタック）とは、パスワードに対して、理論的にあり得るすべてのパターンを入力し、認証の突破を試みるサイバー攻撃手法の一つです。ブルートフォース（brute force）には「力任せ」「強引な」という意味があり、「力任せ攻撃」や「総当たり攻撃」とも呼ばれています。

例えば、パスワードが6桁の数字で構成されている場合、攻撃者は000000～999999の100万通りのパターンをすべて試すことで正しいパスワードを発見することができます。かなり原始的な手法で時間や手間がかかりますが、時間をかければ絶対に認証を突破できるため、確実性の高い攻撃ともいえます。また、コンピューターによる入力の自動化や、コンピューターの処理能力向上によって、パスワードの発見にかかる時間も短縮されてきています。

ブルートフォース攻撃で認証を突破された場合、正規のアカウントでアクセスされてしまいます。そのため、正規のアクセスと見分けがつかず、不正利用が発覚しにくいのが特徴です。

ブルートフォース攻撃の2つの手法

ブルートフォース攻撃には、主に2つの手法があります。ここでは、それぞれの手法について詳しく解説します。

総当たり型攻撃

総当たり型の攻撃とは、入力する文字を1つずつ変えてパスワードの突破を試みる手法です。時間や手間がかかる手法ですが、先述したように、コンピューターによる入力の自動化やコンピューターの処理能力向上で、パスワードの発見にかかる時間は短縮されています。

しかし、パスワードの桁数や使用する文字の種類が多くなると、認証を突破するまでに膨大な時間がかかります。また、最近では多くの認証でパスワード入力に失敗できる回数が決まっており、規定回数を超えるとアカウントにロックがかかり一定時間入力ができなくなるものもあります。そのため、実際のサイバー攻撃においてこの手法がとられる可能性は低いといえます。

パスワードリスト型攻撃

パスワードリスト型攻撃とは、攻撃者が不正な手段で入手したIDとパスワードの組み合わせをリスト化し、その組み合わせを順番に試していくことで認証の突破を試みる手法です。

攻撃に使用されるリストは、不正アクセスを狙っているサービスから流出したものとは限りません。複数のサービスで同じIDとパスワードを使い回している人は少なくないため、別のサービスから流出した認証情報であっても、リストを流用することで認証を突破されてしまう可能性があります。攻撃者にとって、総当たり型攻撃に比べて試行する回数が少なく済み、突破する確率も高くなるというメリットがあります。

リバースブルートフォース攻撃とは

ブルートフォース攻撃がパスワードのパターンをすべて試す手法だったのに対し、パスワードを固定してIDのパターンをすべて試すのが「リバースブルートフォース攻撃（リバースブルートフォースアタック）」です。ブルートフォース攻撃とは逆の手法という意味合いから、「逆総当たり攻撃」とも呼ばれます。初期設定のままのパスワードや脆弱なパスワードを利用しているアカウントは、特に簡単に不正アクセスされてしまう傾向にあります。

リバースブルートフォース攻撃の仕組み

リバースブルートフォース攻撃において、攻撃者が使用するパスワードはさまざまです。「12345」や「PASSWORD」のように、簡単で予測しやすいパスワードを固定化する場合もあれば、ダークウェブなどから不正に入手したパスワードリストを利用してパスワードを固定する場合もあります。

攻撃者にとって、パスワードを入力するブルートフォース攻撃には、認証の失敗が続くとアカウントがロックされるというデメリットがあります。一方、IDを変更するリバースブルートフォース攻撃は、ログイン試行が異なるユーザーによるものと認識され、認証を失敗し続けてもアカウントがロックされないという特徴があります。

ブルートフォース攻撃による被害とは？

実際にブルートフォース攻撃を受けてしまった場合、どのような被害が生じるのでしょうか。詳しく解説します。

Webサービスやアカウントの乗っ取り

ブルートフォース攻撃では、Webサービスやアカウントの認証を破られ、乗っ取られてしまう危険性があります。もし企業のアカウントを乗っ取られた場合は、ランサムウェアを送り込まれて身代金を要求されたり、Webサイトを不正に改ざんされたりするかもしれません。

企業に限らず個人の場合でも、SNSのアカウントを乗っ取られ、攻撃者に不適切な発信をされる恐れがあります。また、ECサイトなど、クレジットカードを利用するサービスのアカウントが乗っ取られると、カードを勝手に利用されるなどの金銭的な被害を受けることも考えられます。

機密情報や個人情報の漏洩

ブルートフォース攻撃による被害として、機密情報や個人情報の漏洩も考えられます。Webサービスやアカウントの認証が破られると、IDやパスワードなどのログイン情報をはじめ、登録されている個人の名前や住所、電話番号などが漏洩してしまう危険性があります。

また、企業のシステムに不正ログインされてしまった場合は、組織の従業員情報や経営戦略のほか、顧客情報が流出するリスクもあります。顧客情報が漏洩し取引先に迷惑をかけてしまうと、企業としての信頼を損ねてしまうかもしれません。

ブルートフォース攻撃の4つの対策

ブルートフォース攻撃による被害を防ぐためには、どのような対策をすればよいのでしょうか。ここでは、4つの対策方法について詳しくご紹介します。

パスワードのルールを厳しくする

ブルートフォース攻撃対策の一つとして、パスワード設定のルールを厳しくすることが挙げられます。例えば、0～9の数字だけを使用するパスワードでも、4桁に設定するより8桁に設定する方が組み合わせの総数を大きく増やすことができます。さらに、英字の大文字や小文字、記号を使用する条件などを加えることで、より組み合わせを増やすことが可能です。

桁数や使用する文字の種類を増やし、より複雑なパスワードを設定することで、認証を破られるリスクを大幅に軽減することができます。また、複数のシステムやWebサービスで同じパスワードを使い回さないようにすることも大切です。

ワンタイムパスワードの活用

ブルートフォース攻撃対策には、ワンタイムパスワードの活用も有効です。ワンタイムパスワードなら、認証を行う際に毎回新しいパスワードが発行されるため、攻撃者にパスワードを予測されたり、総当たり攻撃で認証を解除されてしまうリスクを軽減することができます。不正ログインに対して非常に有効なセキュリティ対策であり、金融機関などの高い安全性が求められる組織でも活用されています。

アクセス制限

社内ネットワークやシステムへのアクセスを許可するIPアドレスを制限することも、有効なブルートフォース攻撃対策の一つです。ブルートフォース攻撃は社外のIPアドレスから行われるケースが多いため、信頼できるIPアドレスのみを許可することで不審なIPアドレスからの接続を遮断し、ログイン試行そのものを防止することができます。

ただ、乗っ取られた社内PCなどからブルートフォース攻撃を仕掛けられた場合は、この方法で防ぐことができないため注意が必要です。

多要素認証

多要素認証の導入も、ブルートフォース攻撃に対して有効な対策になります。多要素認証とは、ログイン時に2つ以上の認証要素を必要とするセキュリティ手法です。IDやパスワードのような「知識情報」、スマートフォンなどに送信された認証コードを入力する「所持情報」、指紋認証や顔認証などの「生体情報」を組み合わせることで認証のセキュリティを強化することができます。万が一ブルートフォース攻撃でパスワードを破られてしまった場合でも、そのほかの要素による認証で不正アクセスを防ぐことが可能です。

ブルートフォース攻撃の事例

ここでは、実際に日本国内で発生したブルートフォース攻撃の被害事例を2つご紹介します。

決済サービスへの不正アクセス

2019年に、大手コンビニエンスストアの手掛けるモバイル決済サービスが不正アクセスを受けました。一部のアカウントでは、ユーザーが登録していたクレジットカードなどから金銭を勝手にチャージされ、本人になりすまして商品を不正に買い物されるという被害がでています。

用いられた手口は、パスワードリストを利用したブルートフォース攻撃である可能性が高いと考えられています。同サービスは、IDとパスワードのみでアカウント登録できる状態だったため、ブルートフォース攻撃で認証を突破されやすい状態だったといいます。この事例の発生を受け、同サービスは廃止しています。

メールアカウントへの不正アクセス

2022年に、国内の大学医学部付属病院で、ブルートフォース攻撃により教職員のメールアカウントが第三者に不正アクセスされる事例が発生しています。不正アクセスされたアカウントは3件で、メールサーバーには当時、患者や講義を受講した医学部生、共同研究者や治験関係者など合計416名の個人情報を記載した添付ファイルが存在していました。閲覧された可能性のあるメールの内容が悪用された事実は確認されなかったものの、病院は関係者への謝罪や対応窓口の設置など、対応に追われる事態となりました。

まとめ

ここまで、ブルートフォース攻撃の概要や手法、対策方法や具体的な事例についてご紹介しました。ブルートフォース攻撃は認証を突破されても正規のログインと見分けがつきにくく、実被害が発生して初めて攻撃を受けたことに気づくケースもあります。大きな事態に発展するのを防ぐためにも、多要素認証やワンタイムパスワードなど、ブルートフォース攻撃対策の導入をぜひご検討ください。