ブルートフォース攻撃とは?
ブルートフォース攻撃は、別名「総当たり攻撃」とも呼ばれています。
ソフトウェアを使って認証情報を「推測」するサイバー攻撃の一種です。ブルートフォース攻撃は何度も総当たりされることにより、攻撃者は辞書に載っている単語、フレーズ、一般的に使用されるパスワード、または特定の文字や数字の組み合わせを入力し、一致するものを見つけます。Keeperの2022年の調査によると、56%の人がパスワードを使い回しているため、ブルートフォース攻撃は驚くほど効果的で、思っている以上に被害が多いことが分かります。使い回しされたパスワードが一つでも漏洩すると、システム全体や一連の認証情報が漏洩する可能性がとても大きいのも特徴です。
ブルートフォース攻撃の種類
通常のブルートフォース攻撃
通常のブルートフォース攻撃は、何度も試行錯誤して、総当たりで試し、ログイン情報を推測します。攻撃者は、すべての文字、数字、記号の組み合わせを試すために、高性能のコンピュータを使用します。非効率的に思えるかもしれませんが、高性能なコンピュータは、一度に数兆の組み合わせを処理できます。
ハイブリッドブルートフォース攻撃
ハイブリッドブルートフォース攻撃は、基本的なブルートフォース攻撃と辞書攻撃を組み合わせた攻撃手法です。攻撃者は、辞書に載っている言葉やフレーズに加えて、ターゲットユーザーに関する個人情報を利用します。この攻撃手法では、パスワードの生成によく使われる要素、例えば、対象者の誕生日などの個人的な情報と、辞書の言葉を組み合わせて使用して、何度も試行錯誤を繰り返し攻撃してきます。
リバースブルートフォース攻撃
リバースブルートフォース攻撃は、パスワードを対象とした一般的なブルートフォース攻撃とは異なり、特定のパスワードに対してID文字列への総当たり攻撃を行う手法です。一般的なブルートフォース攻撃は、パスワードの入力失敗が一定回数を超えると、アカウントを一定時間ロックするようなセキュリティ対策が広く採用されています。しかし、リバースブルートフォース攻撃ではIDを何度も切り替えるため、この種の対策は効果的ではありません。
クレデンシャルスタッフィング
クレデンシャルスタッフィングは、ブルートフォース攻撃の中でも特に効果的な手法の一つです。この方法では、サイバー犯罪者がダークウェブで手に入れた、過去に漏洩したパスワードのリストを使います。彼らは、このリストに含まれるパスワードを多くの異なるウェブサイトで試し、一致するアカウントを探ります。
問題は、多くのユーザーが以前にパスワードが漏洩したことを知っていても、すべてのアカウントでパスワードを変更しないため、アカウントが乗っ取られてしまうということです。
ブルートフォース攻撃を防ぐ対策と方法
複雑で強力なパスワードを使用する
すべてのアカウントに複雑で強力なパスワードを設定することが、サイバー犯罪者から身を守る重要事項となります。常に大文字、小文字、数字、記号を含む複雑なパスワードを使用し、少なくとも16文字以上であることが最善の対策です。パスワードが長く複雑であればあるほど解読される可能性は低くなります。
複雑で強力なパスワードを簡単に作るためには、パスワード生成ツールを使うのが便利です。このツールを使えば、各アカウントごとに異なる安全なパスワードを即座に設定できます。
非アクティブなアカウントを削除する
使っていないアカウントは、不正ログインを避けるために、そのアカウントを完全に削除することがもっとも適切です。また、アカウントが非アクティブ化されていても、それはサイバー犯罪者のための潜在的な侵入ポイントとして機能します。非アクティブなアカウントは、可能な限り削除し、その認証情報や関連する情報をシステムから完全に削除することで、より安全な環境を保つことができます。
ログイン試行回数を制限する
ブルートフォース攻撃は、多数のログイン試行に基づく手法です。試行回数が限定されている場合、この攻撃方法の効果は大幅に低下します。例えば、ログイン試行を3回に制限することは適切な対策となります。3回という制限回数は、誤ってログイン情報を入力した正規のユーザーにとっての余裕を保ちつつ、悪意のある攻撃者がパスワードを推測する前にアカウントをロックアウトするのに充分な試行回数です。3回失敗した試行の後、アカウントはロックされて、アカウントの本人確認が済み次第アカウントが復元できる仕組みです。
海外のIPアドレスをブロックする
ブルートフォース攻撃を含む多くのサイバー攻撃は、国外から実施されることが多く一般的です。そのため、もしビジネスがグローバル向けではなく、国内向けのサービスである場合、海外からのアクセスを制限することで、サイバー攻撃のリスクを低減できます。これを実現するためには、ファイアウォールで海外のIPアドレスをブロックする設定をすることが、身を守る一つの方法となります。
MFA(多要素認証)を有効にする
多要素認証(MFA)は、ブルートフォース攻撃から守るための重要なセキュリティ対策になります。アクセスされたことのないデバイスからパスワードが使用されると、追加の認証ステップが追加されます。これには、テキストやメールでの認証リンク、生体認証などの方法が含まれます。これにより、サイバー犯罪者がパスワードを解読しても、追加の本人確認の認証が取れない限り、サイバー犯罪者はあなたのアカウントにログインすることができません。
ログイン試行できる間隔を設定する
先程のログイン試行回数の制限に加え、ログイン試行できる回数を時間単位で間隔を空けることもできます。ログインが3回などの一定数失敗すると、その後24時間ログイン試行ができなくなるように表示されます。そうすることで、ブルートフォース攻撃を3回の試行後に中断させることができます。これにより、サイバー犯罪者が情報を入力する速度が制限されると共に、管理者に対して怪しい活動を通知することができます。
WAFなどの自動監視ツールを使用する
Web Application Firewall(以下、WAF)などの自動監視ツールは、ブルートフォース攻撃、リバースブルートフォース攻撃の対策として非常に有効的です。
WAFのブルートフォース攻撃防止機能は、設定された特定の期間内に、すべてのクライアント、または指定されたクライアントからの特定のURLに対する通信が、定められた回数を超えた場合にブルートフォース攻撃として認識します。この機能では、どのクライアントがどのURLにどれだけの頻度でアクセスしているかを細かく設定し、その基準を超える通信をブルートフォース攻撃とみなし、アクセスをブロックします。
パスワードマネージャーでブルートフォース攻撃から守ろう
Keeper®のパスワードマネージャーは、強力なパスワードを生成し、安全にパスワードの保管ができて、ブルートフォース攻撃を防ぐ最善策です。
ユーザーは自分自身でパスワードを考える悩みから解放され、アカウント毎にパスワード設定が簡単なことから、一つ一つ覚える必要もありません。パスワードマネージャーにログインする1つのマスターパスワードさえ覚えていれば、他のパスワードを覚える必要は全くないのです。これにより、脆弱なパスワードや繰り返し使い回されるパスワードを無くすことができ、ブルートフォース攻撃からの対策が完了します。
この機会にKeeper®のパスワードマネージャーを試してみてはいかがでしょうか。