組織内でパスワードマネージャーの導入を先延ばしにして
リバースブルートフォース攻撃は攻撃者が一つのパスワードを使って、複数のアカウントにログインを試みるサイバー攻撃です。
つまり、この攻撃は特定のアカウントを狙うのではなく、脆弱なパスワードやよく使われがちなパスワードを使い回しているユーザーが狙われて、実際に被害を出しているのも事実です。
しかしながら、リバースブルートフォース攻撃のようなサイバー攻撃は、少し対策をしておくことで未然に防ぐことが可能です。
そこで、このブログでは、リバースブルートフォース攻撃の仕組みや、危険性、リバースブルートフォース攻撃から守る方法をご紹介します。
Keeperの無料トライアルで、パスワード管理をもっと簡単に。
安心・安全・便利を個人用30日間無料で体験しましょう
リバースブルートフォース攻撃とは?
リバースブルートフォース攻撃とは、攻撃者が一つのパスワードを使って、複数のアカウントにログインを試みるサイバー攻撃です。
この方法は、通常のブルートフォース攻撃とは逆のアプローチを取ります。通常のブルートフォース攻撃では、攻撃者が一つのアカウントIDに対して、複数のパスワードを試して、アクセスを試みますが、リバースブルートフォース攻撃では、攻撃者が一つのパスワードを使い回して、異なるアカウントのログイン情報を試す攻撃です。
そのため、初期設定のパスワードや脆弱なパスワードを利用しているアカウントに対しては、簡単に不正アクセスされる傾向にあります。
リバースブルートフォース攻撃の仕組みとは?
リバースブルートフォース攻撃は、基本的には攻撃者がターゲットとするサービスやアカウントのリストを事前に入手するところから始まります。ダークウェブなどで過去に情報漏洩した、サービスのアカウントリストなどが取引されている可能性があります。
この攻撃の特徴は、攻撃者が特定のアカウントの認証を突破することを目的とせず、さまざまなアカウントに対して同じパスワードを使い回して突破を試みる点です。例えば、「1234」や「admin」などの簡単で予測しやすいパスワードを使い、多くのIDに対してログインを繰り返し試みます。
また、ショッピングサイトや銀行のウェブサイトでは、ブルートフォース攻撃対策として、短時間で複数回パスワードを間違えるとアカウントをロックするなどの方法が採用されていることがあります。しかし、リバースブルートフォース攻撃では、ひとつのアカウントIDに対してパスワードを1回しか入力しないため、このような制限に引っかかる可能性が低いのも脅威として挙げられます。
リバースブルートフォースの危険性とは
リバースブルートフォース攻撃は、アカウントに対して何も対策をしていない場合、非常に高いリスクを引き起こします。
例えば、2020年に発生したドコモ口座の不正出金事件では、ドコモ口座に関連するアカウントに対して、リバースブルートフォース攻撃を受けて不正に出金された大きなインシデントもあります。
特に、脆弱なパスワードや使い回しのパスワードが利用されているアカウントは、攻撃者にとって格好のターゲットとなります。このような攻撃手法により、攻撃者は大量のアカウントに対して同じパスワードを試み、簡単に認証を突破してしまう可能性があります。
そのため、オンラインアカウントに紐づいている以下のような情報が不正に盗まれたり、利用される可能性があります。
リバースブルートフォースによってアカウントが侵害されると、このような被害を及ぼす可能性があるため、あなたのアカウントに対してのセキュリティ対策は不可欠です。
リバースブルートフォース攻撃の対策
ここでは、リバースブルートフォース攻撃からアカウントを守るための対策方法をご紹介します。
強力でユニークなパスワード設定
あらゆるオンラインアカウントに対して強力でユニークなパスワードを設定することは、オンラインアカウントが乗っ取られないように守るための最も有効な対策です。
リバースブルートフォース攻撃は、基本的には「123456」や「qwert1234」などの簡単で脆弱なパスワードやよく使い回されているパスワードを攻撃者は利用して、あらゆるIDに対して攻撃を試みます。
そのため、推測されにくい複雑な組み合わせのパスワードを使用することが望ましいです。具体的には、大文字、小文字、数字、記号を組み合わせた16文字以上の強力なパスワードを設定することが理想的です。
このような強力なパスワードを生成するためには、パスワードジェネレーターを利用すると簡単に強力でユニークなパスワードを生成することが可能です。
アカウントに多要素認証を有効にする
リバースブルートフォース攻撃に対して非常に有効な手段の一つは、多要素認証(MFA)を有効にすることです。MFAは、パスワード以外に追加の認証ステップを組み合わせることで、セキュリティを飛躍的に向上させます。攻撃者がパスワードを推測して正しいパスワードであったとしても、その他のSMS認証、認証アプリ、または生体認証などの追加要素を突破する必要があり、これにより不正アクセスを防ぐことができます。
MFAを設定しておくことは、リバースブルートフォースのような手法に対する効果的な防御となります。
可能な限りログイン通知をオンにする
アカウントのログイン通知を設定し、定期的に監視することもリバースブルートフォース攻撃に効果的な対策となります。攻撃者がリバースブルートフォース攻撃を試みている場合でも、ログイン通知によって異常なアクセスを迅速に把握できます。特に見覚えのないログイン通知を受け取った場合は、速やかにパスワードを変更し、必要に応じてアカウントを一時的にロックしたり、見覚えのないデバイスをロックアウトすることで被害を未然に防ぐことが可能です。
使っていないアカウントの削除または停止
リバースブルートフォース攻撃は、複数のアカウントに対して同じパスワードを試す手法のため、使っていないアカウントも攻撃対象になります。
特に管理が行き届いていない長年使われていないアカウントは、攻撃者にとって絶好のターゲットです。そのアカウントが乗っ取られることで、攻撃者によってなりすましが行われたり、紐づいている個人情報が盗まれる可能性があります。
そのため、使用していないアカウントは定期的に削除または停止し、攻撃対象を減らすことが重要です。
可能な限りパスワードレス認証を実施する
パスワードレス認証は、パスワードを使用せずに、個人の身元を確認する認証方法です。 代わりに、生体認証、マジックリンク、またはパスキーなどを使用します。 パスワードレス認証ではパスワードを使用しないため、リバースブルートフォースだけではなく、ブルートフォース攻撃やフィッシング攻撃などのパスワードに関連するサイバー攻撃に対して、有効なセキュリティ対策です。
パスワードマネージャーの利用
パスワードマネージャーを利用することは、リバースブルートフォース攻撃に対して最も有効な手段です。
パスワードマネージャーを使用すれば、強力でユニークなパスワードを簡単に生成・管理でき、パスワードの使い回しを避けることができます。
リバースブルートフォース攻撃は同一のパスワードを複数アカウントに対して試すため、各アカウントが異なる強力なパスワードで保護されていれば、攻撃者が認証を突破することは難しくなります。
加えて、パスワードマネージャーはパスワードの強度を監視し、ダークウェブモニタリング機能が搭載しているパスワードマネージャーはダークウェブに漏洩し、マッチしている情報を通知してくれるため、さらなるセキュリティの向上が図れます。
さらに、Keeperのようなパスワードマネージャーは、2FAコードの管理やパスキーの管理ができるため、パスワードを管理しながらもパスワードレス認証を実装するのに役立ちます。
Keeperでリバースブルートフォース攻撃を防ぐ
リバースブルートフォース攻撃は、簡単で脆弱なパスワードやよく使い回されているパスワードを攻撃者は利用して、ランダムに無数のアカウントに攻撃を仕掛けてくるため、いつあなたが被害に遭うかわかりません。
しかし、あなたがパスワードを適切に管理することで、リバースブルートフォース攻撃のリスクを低減することができます。
おさらいとして以下のような設定がオンラインアカウントにされているかもう一度確認しましょう。
- 強力でユニークなパスワード設定
- アカウントに多要素認証を有効にする
- ログイン通知をオンにする
- 使っていないアカウントの削除または停止
- 可能な限りパスワードレス認証を実施する
- パスワードマネージャーの利用
そこで、Keeper®のようなパスワードマネージャーを利用することで、リバースブルートフォース攻撃を始めとした、あらゆるパスワード攻撃からアカウントを安全に保護するために役立ちます。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルまたは14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。