ブルートフォース攻撃とは?

ブルートフォース攻撃とは、ソフトウェアを使用してクレデンシャルを「推測」するサイバー攻撃の一種です。ブルートフォース攻撃者は、試行錯誤を繰り返しながら、辞書的な単語やフレーズ、よく使われるパスワード、特定の文字と数字の組み合わせを、一致するものが見つかるまで入力します。56%の人がパスワードを使い回していることを考えると、ブルートフォース攻撃は驚くほど効果的です。パスワードの使い回しは危険かつよくある習慣であり、使い回されたパスワードが 1 件漏洩するだけで、システム全体または一連のクレデンシャルが漏洩してしまうからです。

ブルートフォース攻撃の種類

単純なブルートフォース攻撃

単純なブルートフォース攻撃

単純なブルートフォース攻撃においては、試行錯誤してさまざまな組み合わせを試し、ログイン認証情報を推測します。攻撃者は、高性能のコンピュータを使用して、文字、数字、記号のあらゆる組み合わせを試します。これは非効率的に見えるかもしれませんが、コンピュータの中には一度に何兆もの組み合わせを処理できるものもあります。

辞書攻撃

辞書攻撃

辞書攻撃は、単純な辞書の単語やフレーズを利用して、ユーザーのクレデンシャルを破ります。辞書に載っているような単語やフレーズを使用しないことをお勧めします。辞書を使ったブルートフォース攻撃では、それらを拾ってパスワードを破られる可能性があるからです。

ハイブリッドブルートフォース攻撃

ハイブリッドブルートフォース攻撃

攻撃者は外部ロジックを使用することで、ソフトウェアを使用してどのパスワードが最も成功するかを推測し、その後ブルートフォースを使用してすべての組み合わせを適用します。

リバースブルートフォース攻撃

リバースブルートフォース攻撃

このメソッドは、よく知られたパスワードに依存します。一般的なパスワードのリストは、ネット上で簡単に見つけることができます。その 10,000 件のリストがこちらです。逆ブルートフォース攻撃は、このようなリストを使い、一致するのを期待してこれらの一般的なパスワードを複数のアカウントに入力します。

クレデンシャルスタッフィング

クレデンシャルスタッフィング

クレデンシャルスタッフィングは、最も効果的なブルートフォース手法の一つとなっています。以前に漏洩したパスワード が記載されているリストは、ダークウェブで購入することができ、サイバー犯罪者はそれを使って何十ものウェブサイトにクレデンシャルを「詰め込み(stuff)」、一致するかどうかを確認するのです。

多くの場合、ユーザーは、たとえ以前に侵害されたことがあっても、すべてのアカウントのパスワードを変更することはありません。

ブルートフォース攻撃を防ぐには

パスワードを強力な独自のものとする

すべてのアカウントに強力な独自のパスワードを使用することで、サイバー犯罪者にパスワードを推測されにくくなります。文字、数字、記号を含み、常に 16 文字以上の複雑なパスワードを使用するようにしましょう。パスワードは長くて複雑であればあるほど良いのです。

パスワードジェネレーターを使用して、すべてのアカウントに強力な独自のパスワードを生成することができます。

非アクティブなアカウントの削除

従業員が退社する際には、不正ログインを避けるため、アカウントを完全に削除することが重要です。従業員のアカウントが無効化されたとしても、サイバー犯罪者にとっての潜在的なエントリーポイントとして機能することに変わりはありません。アクティブではないアカウントはできるだけ早く停止し、システムからクレデンシャルを消去すべきです。

ログイン試行回数の制限

ブルートフォース攻撃は、複数回のログイン試行に依存します。限られた回数しか試行できない場合、ブルートフォースハッキングはその効果がかなり低くなります。3 回のログイン試行が良い出発点でしょう。これは、純粋にログイン情報を間違えている人のための余地を残すのに十分な回数であり、潜在的な脅威者がパスワードを推測できる前に締め出すのに十分な回数です。3 回失敗したら、アカウントを完全にロックし、システム管理者がユーザーの身元を確認した後にアクセスを回復するよう要求します。

アカウントで MFA を有効にする

多要素認証(MFA)はブルートフォースアタックに対する救世主となります。パスワードが見知らぬデバイスや認識されないデバイスから使用された場合、認証ステップが追加されます。これには、テキストや電子メールによる検証リンク、生体認証チャレンジ、またはその他のメソッドを使用することができます。これにより、アカウント保護がさらに強化されます。

ログインの抑制

ログインに失敗している間にカウントダウンを要求することで、ログイン試行を遅くすることができます。このメソッドは、ログイン制限と組み合わせることで、3 回目の試行でブルートフォース攻撃を止めることができ、サイバー犯罪者が情報を入力できる速さを制限することができます。これは、不審な活動を管理者に知らせるのにも役立ちます。

自動化ツールを使う

高度な自動化ツールを使えば、ブルートフォース攻撃を防ぐことができます。企業はすでに、こうしたツールを使ってブルートフォース攻撃やその他のマルウェアの脅威に対処しています。脅威の検出が高度化するにつれ、脅威が被害をもたらす前に検出、防止、除去するために AI 技術を利用するケースが増えています。

ボットによる保護は、ウェブトラフィックに不審な動きがないかを監視し、攻撃が疑われる場合にユーザーをロックアウトするのに役立ちます。また、ボットは、複数回のログイン試行などの不審なアクティビティを予測し、攻撃が完了する前に被害者に警告することができます。

ブルートフォース攻撃は単純ですが、特に個人や企業が適切な保護策を講じていない場合は有効なケースが多くなります。

パスワードマネージャーを使用してブルートフォース攻撃と距離を置く

Keeper® のようなパスワードマネージャーは、ユーザーが強力なパスワードを作成し、安全に保存することで、ブルートフォース攻撃を防ぐことができます。ユーザーはパスワードを作成するために自分自身に頼る必要がなくなり、オンラインアカウントに脆弱なパスワードや繰り返されるパスワードが使用されなくなります。

パスワードマネージャーは、オンラインアカウントの安全性を確保するために個人と企業の両方に役立ちます。無料トライアルを開始して、自分の目でお確かめください。

close
close
日本語 (JP) お問い合わせ