基礎知識 広告

【情報セキュリティ基礎】ブルートフォース攻撃とはどんなものか?対策はどうすればいいか?

 
記事内に商品プロモーションを含む場合があります

今回も情報セキュリティの基礎ということで、攻撃者が行う攻撃についてお話しします。

ブルートフォース攻撃は新しい攻撃方法ではありませんが、放置しておくと特定の人しかアクセスできない場所に攻撃者がアクセスできるという問題が発生してしまいます。

今回はそんなブルートフォース攻撃についてお話しします。

また、ついでに辞書攻撃というものについてもお話しします。

ブルートフォース攻撃とはどういうものか?

ブルートフォース攻撃はパスワードを総当たりに試し、ログインを試みる攻撃のことです。

イメージとしては、自転車のナンバーロックを0000から9999まで試していく感じですね。

自転車のナンバーロックは0000から9999のどれかに正解があるわけです。

なので、0000から9999までの1万回を試せば必ず鍵が外れるようになっています。

これと同じように、システムやサイトのパスワードは文字や記号の列になっているため、何度も試しているといつか必ずパスワードが一致するようになります。

これを一つずつ試していくのがブルートフォース攻撃のやり方です。

何度もアクセスがあるため、サーバーへの負荷が高まることも懸念されますし、もしブルートフォース攻撃に成功してしまうと、特定の人しか見ることのできない機密事項などが流出しかねません。

そのため、しっかりと対応をする必要があります。

辞書攻撃とは何か?

ブルートフォース攻撃の一部に辞書攻撃というものがあります。

辞書攻撃とは辞書に載っている単語や人物名をパスワードとして入力して試していくという手法です。

パスワードを「password」などに設定していたりすると、この辞書攻撃でログインされてしまい、不正アクセスが出来てしまうことになります。

ブルートフォース攻撃が文字列や数字などの組み合わせで総当たりで試していくのに対して、辞書攻撃では辞書に載っている単語などを総当たりで試していきます

攻撃者はブルートフォース攻撃と辞書攻撃を組み合わせて攻撃を仕掛けてくることもあるため、パスワードを特定の人物名や単語に設定していると比較的簡単にアクセスが出来てしまいます。

では、ブルートフォース攻撃や辞書攻撃から身を守るためにはどうしたらいいのでしょうか?

ブルートフォース攻撃、辞書攻撃から身を守る方法

ブルートフォース攻撃を受けると、攻撃者がログインに成功することで、データ改ざん、機密事項などの重大なセキュリティ事故の発生につながるだけではなく、管理者や特定の社員になりすましてログインできることも問題になります。

情報セキュリティに無知な会社では、ブルートフォース攻撃や辞書攻撃で何かセキュリティ事故が起きた時もなりすましでログインされた人のせいにされるのですが、当人に全く心当たりがないため、なりすましでログインされた人を犯人扱いしても問題は解決しません。

そもそもブルートフォース攻撃や辞書攻撃の被害を受けないことが大切なのです。

ブルートフォース攻撃や辞書攻撃を受けないための対処方法は以下のようなものがあります。

  1. パスワードは8桁以上とする
  2. 英単語や数字だけのパスワードにするのではなく、英数字記号混合(英字は大文字も含める)のパスワードにする
  3. パスワードの試行回数に制限を設け、試行回数に達してもログインできない場合はロックする
  4. 二段階認証の導入(パスワードによるログインと、本人宛に認証コードを送信してそれを入力させるなど)
  5. パスワードを定期的に変更する

パスワードに英数字だけではなく、英語の大文字や記号を混ぜることで、パスワードを特定するために必要な試行回数が大幅に増え、パスワードを特定されるリスクが大幅に下がります


パスワードを一定回数入力してもログインできない場合はロックするというのも有効で、この機能により攻撃者からパスワードを特定される危険性がほとんどなくなります。

銀行のマイページにアクセスする時にパスワードを3回間違えてしまい、ロックされてしまった。

そんな経験が自分にもありました(その時は銀行に電話してパスワードの再発行とロック解除をしてもらいました・・・)。

これくらいセキュリティが強固であれば、安心して利用できますね。


二段階認証は有効な方法で、パスワードを入力して突破しても、その先で認証コードを入力しないといけないので、本人以外がログインすることがとても困難になります。

認証コードは本人にしか送られないので、攻撃者がもしパスワードを特定して突破しても、認証コードが数字だけなのか、英数字の組み合わせなのか、何桁なのか、情報がないため適当に入力しても認証に失敗してしまいます。

そのため、二段階認証はブルートフォース攻撃や辞書攻撃にかなり有効な効果を発揮します。


二段階認証を導入できない場合は定期的なパスワードの変更もやっておいた方がいいでしょう。

1年に一度くらいがベストですね。

攻撃者が時間をかけてパスワードを特定する可能性は0ではないので、パスワードを定期的に変更してパスワードを特定しにくくするのは有効な手段であると言えます。


上記で挙げた対処方法は1つ行えばいいというものではなく、いくつか組み合わせることでより強固なセキュリティを実現することが出来ます

ブルートフォース攻撃や辞書攻撃は適切に対処を行うと攻撃の被害を受ける確率がほぼ0まで下がります。

そのため、適切な対処をしてセキュリティを高めておくことは、日ごろから実施しておいた方がいいでしょう。

今回の記事はここまでとなります。
また次の記事でお会いしましょう。

初級編 基礎知識 情報セキュリティ
関連記事