ブルートフォース攻撃とは？

• 脅威
• ブルートフォース攻撃とは？

ブルートフォース攻撃とは？

ブルートフォースとは、試行錯誤的なメソッドを用いてログイン情報、セキュリティキー、その他の機密情報を推測するサイバー攻撃の一種です。特に、約 65％の人がパスワードを使い回していることを考えると、ブルートフォース攻撃は驚くほど効果的です。パスワードの使い回しは危険だがよくある行為で、1 つのパスワードが漏洩するだけで、システム全体や一連のクレデンシャルを暴露することができます。

ブルートフォース攻撃は、残念ながら従業員でさえもパスワードを使い回してしまうため、企業や個人を問わず行われています。成功したサイバー攻撃の平均コストは数百万ドルに昇り、より多くの企業が在宅勤務を採用するようになったため、ブルートフォース攻撃はより多く見られるものとなっています。

ブルートフォース攻撃の仕組み

ブルートフォースパスワード攻撃は、ソフトウェアを使ってクレデンシャルを「推測」することで動作します。ブルートフォース攻撃は、試行錯誤を通して、一般的な辞書フレーズ、よく使われるパスワード、特定の文字と数字の組み合わせなどを一致するまで入力します。

ブルートフォース攻撃の種類

単純なブルートフォース攻撃

単純なブルートフォース攻撃においては、試行錯誤してさまざまな組み合わせを試し、ログイン認証情報を推測します。攻撃者は、高性能のコンピュータを使用して、文字、数字、記号のあらゆる組み合わせを試します。これは非効率的に見えるかもしれませんが、コンピュータの中には一度に何兆もの組み合わせを処理できるものもあります。

辞書攻撃

辞書攻撃は、単純な辞書の単語やフレーズを利用して、ユーザーのクレデンシャルを破ります。辞書に載っているような単語やフレーズを使用しないことをお勧めします。辞書を使ったブルートフォース攻撃では、それらを拾ってパスワードを破られる可能性があるからです。

ハイブリッドブルートフォース攻撃

外部ロジックにより、どのパスワードが最も成功率が高いかを推測し、ブルートフォース（総当たり）ですべての組み合わせを適用します。

リバースブルートフォース攻撃

このメソッドは、選択されたいくつかのよくあるパスワード次第となります。よくあるパスワードのリストは、オンラインで簡単に見つけることができます。ここに 1 万件のリストがあります。リバースブルートフォース攻撃は、このようなリストを使用して、これらよくあるパスワードを複数のアカウントに入力し、一致するものを探します。

クレデンシャルスタッフィング

クレデンシャルスタッフィングは、最も効果的なブルートフォースメソッドのひとつです。過去に漏洩したパスワードが記載されているリストがダークウェブで販売されており、サイバー犯罪者はそれを使用して、数十のウェブサイトでクレデンシャルを「詰め込み（スタッフィング）」、一致するかどうか確認します。以前に漏洩したことがあっても、ユーザーがすべてのアカウントのパスワードを変更することは稀です。

ブルートフォース攻撃が脅威となる理由

ブルートフォース攻撃は、サイバー犯罪者が一度に複数のアカウントに侵入することを可能にするため、特に危険なサイバー脅威と言えます。クレデンシャルスタッフィングなどのメソッドでは、一度に数千のアカウントを攻撃することができ、統計的に少なくともひとつはそのクレデンシャルに屈することになります。

認証情報が確認されると、サイバー犯罪者は、ソーシャルメディアから銀行口座、機密情報を持つ政府機関や企業のアカウントまで、あらゆるアカウントにアクセスできるようになります。

リモートワークがブルートフォース攻撃を増加させた理由

COVID-19 の大流行により、何千もの企業が、追って通知があるまで在宅勤務モデルを採用することを余儀なくされました。これは、歴史上最も偉大なビジネス実験のひとつとなりました。それまで在宅勤務モデルをサポートしてこなかった企業は、適応するか滅びるかという痛ましいジレンマに直面することになりました。そして、実際、何千もの企業が滅び去り、滅びなかった企業もサイバー犯罪という新たな課題に直面することとなりました。

2020 年 1 月から 12 月にかけて、ブルートフォース攻撃は全世界で約 20 万件から 140 万件以上に増加しました。実質的に企業が在宅勤務モデルを試行していることから、サイバー犯罪者が安全性の低いリモートデスクトップや不十分なパスワード管理を利用する絶好の機会となりました。

ブルートフォース攻撃を防ぐ方法

自動化ツールの活用

ブルートフォース攻撃は、洗練された自動化ツールで防ぐことができます。企業はすでに、これらのツールを使ってブルートフォースアタックやその他のマルウェアの脅威に対処しています。脅威の検出がより洗練されていくにつれ、脅威が被害をもたらす前に検出、防止、除去するため、AI 技術に頼ることが多くなっています。

ボットによる保護は、ウェブトラフィックに不審な動きがないかを監視し、攻撃が疑われる場合にユーザーをロックアウトするのに役立ちます。また、ボットは、複数回のログイン試行などの不審なアクティビティを予測し、攻撃が完了する前に被害者に警告することができます。

ブルートフォース攻撃は単純ですが、特に個人や企業が適切な保護策を講じていない場合には、有効な場合が多くなります。

非アクティブなアカウントの削除

従業員が退職する際には、不正なログインを避けるために、そのアカウントを完全に削除することが重要です。たとえ従業員のアカウントが無効化されていても、サイバー犯罪者にとっては潜在的な侵入口となります。非アクティブなアカウントはできるだけ早く削除し、彼らの認証情報をシステムから取り除く必要があります。

すべてのアカウントに 2FA/MFA を導入する

二要素認証や多要素認証は、ブルートフォース攻撃において救いの手となることがあります。パスワードが見知らぬデバイスや不正なデバイスから使用された場合、追加の認証ステップを起動させます。これには、テキストや電子メールの認証リンク、生体情報の入力、またはその他の方法が含まれます。これにより、すべてのアカウントにおいて追加の保護レイヤーが追加されます。

2FA および MFA ツールは、多くの場合、パスワード管理プラットフォームやその他のサイバーセキュリティツールに統合されています。システム管理者は、重要なセキュリティレイヤーを追加するために、システム上のすべてのアカウントに MFA または 2FA を導入することを検討すべきです。

ログイン試行回数の制限

ブルートフォース攻撃は、複数回のログイン試行に依存します。ブルートフォースハッキングは、限られた回数しか試行できない場合、限界があります。3 回のログイン試行は良い出発点となります。純粋にログイン情報を間違えた人のために余裕を持たせ、パスワードを推測される前に潜在的な脅威をロックするには十分に少ない回数となります。3 回失敗した後は、アカウントを完全にロックして、システム管理者がユーザの身元を確認した後にアクセスを回復するようにします。

ログインの抑制

ログインに失敗している間にカウントダウンを要求することで、ログイン試行を遅くすることができます。このメソッドは、ログイン制限と組み合わせることで、3 回目の試行でブルートフォース攻撃を止めることができ、サイバー犯罪者が情報を入力できる速さを制限することができます。これは、不審な活動を管理者に知らせるのにも役立ちます。

パスワードを強力な独自のものとする

すべてのアカウントに強力な独自のパスワードを使用することで、サイバー犯罪者がパスワードを推測することをより困難にします。文字、数字、記号を含む複雑なパスワードを常に使用するようにしましょう。複雑であればあるほどよいでしょう。

パスワードジェネレーターを使用して、すべてのアカウントに強力な独自のパスワードを生成することができます。