Reading Time: 1 minute

近年、IDやパスワードなどの個人情報がブルートフォースアタック(総当たり攻撃)によって流出するというニュースを頻繁に見かけるようになりました。そのため、アカウントの乗っ取りは、決して他人事ではありません。

セキュリティレベルの低いアカウントは、ブラックハッカーの攻撃対象となり、強引な手法でパスワードを解読されます。今回は、ブルートフォースアタックとは、どのような手法なのか、被害の状況や必要な対策について解説していきます。

パスワードを解読するブルートフォースアタックとは?

ブルートフォースアタックとは、他人のパスワードを強奪する悪質な手法のことをいいます。一般的には、総当たり攻撃と呼ばれています。たとえば、大文字のA~Dの4文字で施錠されるパスワードなら、下記のように試します。

AAAA

AAAB

AAAC

AAAD

DDDD

このように、1文字ずつ組み合わせを変えていけば、正解となる暗号を確実に見つけ出すことができます。プログラムによる自動的な作業であるため、暗号が短ければ、すぐにパスワードを解読できます。

ブルートフォースアタック(総当たり攻撃)の代表的な2つの種類

ブルートフォースアタックには、大きく2種類の攻撃方法があります。それは、ある特定のパスワードを解読するものと辞書やネット情報などを利用して実行される攻撃です。ここでは、ブルートフォースアタックの代表的な2種類の攻撃の特徴について確認していきます。

パスワードに対する総当たり攻撃

ブルートフォースアタックでは、あらゆる英数字を組み合わせて、難解なパスワードを解読していきます。総当たり攻撃のやり方として、もっとも知られている手法であり、代表的な方法といえるでしょう。

パスワードを全自動で作成するシステムを利用し、目的の情報を解読するまで検証作業を繰り返します。そのため、パスワードに使われる暗号が短く簡単なものであれば、不正ログインされやすいということです。

簡単なキーワードを利用した総当たり攻撃

現在、多くの人がセキュリティ教育を受けることなく、インターネット上で個人情報を管理しています。その結果、下記のような簡単な単語でパスワードが登録されるケースが少なくありません。

・pass

・tukue

・time11

このような規則的な安易なパスワードであるなら、辞書やネット情報を利用することで簡単に解読できます。他にも、辞書攻撃と総当たりを組み合わせた攻撃方法も登場しており、その手口は年々巧妙化しています。

すべては複数のサービスで安易なパスワードを登録してしまう、ユーザーのセキュリティレベルの低さが問題となっています。そのため、日頃から不正アクセスによる被害に遭遇しやすくないかチェックしておくことが大切です。

ブルートフォースアタックによる甚大な被害

総当たり攻撃に対して、何ら対策していなければ、SNSやクレジットカードなどの個人情報が簡単にブラックハッカーの手に渡ってしまいます。ここでは、ブルートフォースアタックによってどのような被害が生じるのかについて確認していきます。

個人情報の漏洩

顧客の個人情報を管理しているサイトがブルートフォースアタックされた場合、特定の顧客情報が外部に流出する可能性が高いです。そのアカウントに紐づく名前や住所、メールアドレス、クレジットカード番号などが情報の抜き取り対象となります。

金銭被害

ブルートフォースアタックによって個人情報を盗み出されれば、第3者がクレジットカードを利用して、不正請求する可能性があります。1度でも情報が抜き取られれば、インターネットショッピングはもちろん、自宅の住所に対して架空請求することも可能です。

まさか、自宅に届く請求書がブルートフォースアタックによって生じる架空請求であるとは、想像もしないでしょう。

ウェブサイトの改ざん

あなたは、ウェブサイトをどのように管理していますか?もし、WordPressや無料ブログなどのサービスで管理しているのであれば、サイトの内容を改ざんされる可能性があります。

管理画面がある以上、ブルートフォースアタックによってパスワードを見つけ出すことができれば不正アクセスできます。そのため、セキュリティを強固にするプラグインなどを利用して、十分な安全対策が必要です。

ブルートフォースアタックに対する有効な対策とは?

どうすればブルートフォースアタックによる被害を回避できるのでしょうか。ここでは、総当たり攻撃に有効とされる具体的な対策方法をご説明します。

複雑で解読が困難なパスワードを設定する

まずは、パスワードの内容について見直しましょう。パスワードは、英数字の組み合わせ方で、解読に伴う難易度や時間を大幅に変えることができます。実際に、パスワードを作成する際は、下記のポイントを意識してください。

・ステップ1:8文字以上の暗号を設定する。(文字数が多ければ多いほど、良い。)

・ステップ2:大文字や小文字の英語や数字、記号など、複数の文字列が使用されている。

・ステップ3:辞典やインターネットなどからは想定できない文字列。

・ステップ4:まったく規則性がない文字列。

どれだけ文字数を増やしても下記のような規則的な組み合わせでは、簡単に解読されます。

・123456789

・11111111222222

・aaaaaa111111

文字数を増やせば、ブルートフォースアタックによって検証すべき文字列が増えるため、解読に時間がかかります。覚えるのが大変かもしれませんが、1番重要なポイントとなりますので、パスワードを難解なものに作成し直しましょう。

2段階認証を設定する

現在、多くのサービスでは、1段階認証によってログインできる仕組みが採用されています。そのため、ブルートフォースアタックによって解読されてしまったら、被害の拡大を抑えることができません。

その場合、2段階認証を設定しておけば、不正アクセスによる被害を受けづらくなります。2段階認証を設定すれば、インターネット上のサービスにログインする際、IDやパスワード以外にも、会員登録時に入力した合言葉やメールアドレスに送信される番号の入力を要求されます。

本人しか知りえいない情報を違う角度から質問することで、悪質なブルートフォースアタックによる侵入を防いでいます。

パスワード生成ツールを利用する

不規則な文字列で難解なパスワードを作成すると「あまりにも複雑で覚えられない・・・」という方もいるでしょう。そのような方は、パスワード生成ツールを利用して解読や推測が困難な文字列を生成し、パソコン上に記録しておきましょう。

パスワード生成ツールでIDやパスワードを生成するたびに、ログイン情報が新規登録されるため、いつでも必要な情報にアクセスできます。その結果、難解なパスワードでも忘れることなく、自動入力できます。

セキュリティソフトで安全にパスワードを管理する

もし、お客さまが「ブルートフォースアタック(総当たり攻撃)による対策をしておきたい!」と強く望んでいるのなら、高機能なセキュリティソフトを導入することで、問題を解決に導くことができます。

ウェブルートでは、難解なパスワードを安全に管理するために、“パスワード管理機能”が標準搭載されています。そのため、すべてのウェブサイトに対して安全なパスワードを作成し、ユーザー名やパスワードを自動的に記録・入力できます。

その結果、難解なIDやパスワードでも暗記をしておく必要がなくなります。ぜひ、パソコンやスマートフォンのセキュリティレベルを上げるためにも導入してください。

Webroot Japan

About the Author

Webroot Japan

Webroot Japan

ウェブルートブログは企業や個人ユーザーのサイバーセキュリティ対策に役立つな最新の脅威インテリジェンスやサイバー脅威の対策など様々な情報をお届けさせていただきます。

Facebook Comments