ブルートフォース攻撃の仕組み
ブルートフォース攻撃は、パスワードが存在する場合、攻撃者が最終的にそれを推測できるという事実に依存しています。 たとえば、ユーザーが 8 文字のパスワードを持っている場合、攻撃者は 8 文字のパスワードをすべて試しても、最終的に正しいパスワードにたどり着きます。 ブルートフォース攻撃の主な制限は、実行に非常に時間がかかることです。 自動化されたブルートフォースツールは毎秒多くのパスワードを試すことができますが、長いランダムなパスワードは解読に数百万年以上かかる可能性があります。
しかし、多くのパスワードにはこのレベルのセキュリティがないため、ブルートフォース攻撃が実行可能な攻撃ベクトルとなっています。 攻撃者が正しいパスワードの特定に成功すると、ユーザーのアカウントにアクセスできるようになり、データや金銭を盗んだり、システムをマルウェアに感染させたり、その他の悪意のある行為を実行したりすることが可能になります。
ブルートフォース攻撃の種類
ブルートフォース攻撃は、攻撃者が正しいパスワードを特定するまで、さまざまなパスワードを推測する行為によって定義されます。 ブルートフォース攻撃には、次のようないくつかの種類があります。
- 単純なブルートフォース攻撃: 単純なブルートフォース攻撃では、攻撃者は考えられるすべてのパスワード候補を徹底的にチェックします。 たとえば、aaaa、aaaaaaabなどを試すことができます。
- 辞書攻撃: 辞書攻撃は、辞書に載っている一般的な単語と侵害されたパスワードのリストから行われます。 これらのパスワードは、多くの場合、単語の末尾に数字を追加したり、特殊文字(@ をaに置き換えたりするなど)などの単純な変換も行われます。
- ハイブリッドブルートフォース攻撃: ハイブリッドブルートフォース攻撃は、辞書攻撃と単純なブルートフォース攻撃を組み合わせたものです。 攻撃者は、まず辞書を使用してユーザーのパスワードを推測しようとし、それが失敗すると単純なブルートフォース攻撃に移ります。
- リバースブルートフォース攻撃: リバースブルートフォース攻撃では、攻撃者は既知のパスワードまたは一般的なパスワードから始めます。 次に、そのパスワードを使用しているユーザー名を検索します。
- クレデンシャルスタッフィング攻撃: クレデンシャルスタッフィング攻撃では、攻撃者は1つのサイトで侵害された クレデンシャルを他のサイトで試みます。 これは、さまざまな異なるアカウント間でのパスワードの再利用を識別しようとします。
ブルートフォースパスワード攻撃を防ぐ方法
ブルートフォースパスワード推測攻撃は、アカウントの乗っ取りが成功するリスクをもたらします。 これらの脅威から保護する方法には、次のようなものがあります。
- 強力なパスワード: ブルートフォースパスワード攻撃は、妥当な時間内にパスワードを推測できるという事実に依存しています。 長くてランダムなパスワードを使用すると、ブルートフォース攻撃に必要な複雑さと時間が増します。
- 塩漬けハッシュ: ソルトでは、各パスワードを一意のランダム値と組み合わせてから、ハッシュ化して保存します。 これにより、同一のパスワードが同一のパスワードハッシュを持たないようにし、検出と解読をより困難にすることができます。
- レート制限: オンラインブルートフォース攻撃では、ライブログインページに対してパスワードをテストします。 レート制限の実装 — つまり、 毎分特定の数のログイン要求のみを許可すると、これらの攻撃は遅くなり、効果が低下します。
- アカウントのロックアウト: アカウントロックアウトは、ログイン試行に一定回数失敗すると、正しいパスワードを使用していても、ユーザーのアカウントにアクセスできなくなります。 これは、ブルートフォース攻撃の動機付けに役立ち、攻撃者は正しいパスワードを見つけるために数回推測するだけなので、成功の可能性を劇的に減らします。
- 2 要素/多要素認証 (2FA/MFA): 2FA/MFA では、ユーザーのアカウントにアクセスするために 2 つ以上の異なる認証要素が必要です。 たとえば、 MFA では、認証アプリによって生成されたパスワードとワンタイムパスワード (OTP) の両方を推測または盗むことを攻撃者に要求する場合があります。
- 行動分析: 組織は、行動分析を使用して、ユーザー アカウントに関連する疑わしい動作を特定できます。 たとえば、ログイン試行の失敗が大量にある場合は、ブルートフォースパスワード推測攻撃が試みられたことを示します。
- IP ブロックリスト: 攻撃者は、特定の既知の不正な IP アドレスからのトラフィックを明示的にブロックすることもできます。 これにより、ボットネットがブルートフォースパスワード推測攻撃を実行することがより困難になる可能性があります。
現代のサイバー攻撃に対する防御
サイバー脅威の状況は、近年急速に進化しています。 ブルートフォース攻撃は古くからの脅威ですが、最新のテクノロジーにより、以前よりも効果的になっています。 その結果、ブルートフォース攻撃者は、ユーザーのアカウントにアクセスして金銭やデータを盗む可能性が高くなります。
しかし、アカウントの乗っ取りは、組織が直面するサイバー攻撃の1つにすぎません。 現在のサイバー脅威の状況の詳細については、チェック・ポイントの 2023 年中期サイバーセキュリティ レポート をご覧ください。 今日、組織は、かつてないほど大規模で巧妙、かつステルス性の高い 第5世代のサイバー攻撃に直面しています。 チェック・ポイントで第 5 世代のサイバー脅威から保護する方法について詳しくご覧ください。