現代ではよく見かける不正アクセスのニュースですが、その標的は企業のみならず、個人も関係しています。サイバー攻撃の手法「ブルートフォース攻撃」とは、パスワードさえ解析できれば個人・企業問わず、誰でも被害を受ける恐れがある危険な手法です。
この記事ではブルートフォース攻撃について取り上げ、攻撃のメカニズムや実際の被害例、具体的な対策までを紹介します。この記事を読んで不正アクセスの脅威について理解を深め、大切なアカウント情報を守りましょう。
目次
ブルートフォース攻撃について
ブルートフォース攻撃の概要とログインができるまでの解読時間について解説します。
ブルートフォース攻撃とは
ブルートフォース攻撃とは「総当たり攻撃」とも呼ばれる不正アクセスの手法です。ユーザーが設定したパスワードに対して、想定される全てのパターンを入力して正解のパスワードを見つけます。数字4桁のパスワードの場合、「0000」から「9999」までの1万通りを全部に試します。
攻撃はシステムを使用しますが、現代のコンピューターは高性能で、数字4桁のパスワードは一瞬で突破されることがあります。パスワードの桁数が少なく、文字列が単純なほど突破されやすいため、数字と英字、記号などを複雑に組み合わせて強度を上げることが大切です。
ブルートフォース攻撃でのログイン時間
ブルートフォース攻撃におけるログインまでの解読時間は、パスワードに使われている文字の種類や数によって違います。
以下の表は、パスワードの種類と長さに応じたブルートフォース攻撃によるログインまでの推定時間を示しています。
| 8桁 | 10桁 | 12桁 | |
|---|---|---|---|
| 数字のみ | 1秒以下 | 1秒以下 | 25秒 |
| 英小字のみ | 5秒 | 1分 | 1か月 |
| 英大小字 | 22分 | 1か月 | 300年 |
| 英大小字+数字 | 1時間 | 7か月 | 2000年 |
| 英大小字+数字+記号 | 8時間 | 5年 | 34000年 |
表には記載していませんが、数字10桁のうち1文字だけを英小字を加えるだけで「1秒以下」から「30分」に増えるというデータもありました。しかしプログラムの進歩により、解読にかかる時間は日に日に短くなっています。
いずれにせよ、文字の種類が増えるほど、また桁数が増えるほどパターンも増えるため、文字列を複雑に組み合わせることによって不正ログインを防止することが大切です。
辞書攻撃との違い
辞書攻撃とは、ユーザーが使いそうなパスワードを想定して攻撃する手法で「ディクショナリアタック」とも呼ばれています。ブルートフォース攻撃が一つ一つのパターンを総当たりに入力することに対し、辞書攻撃は多くの人が使いがちなパスワードを効率よく特定することが目的です。
ユーザー情報でもある誕生日、appleなどのわかりやすい単語や人物の名前など、一般的で意味のある単語を使っている場合に突破される可能性が高まります。
リバースブルートフォース攻撃との違い
ブルートフォース攻撃とよく似たサイバー攻撃に「リバースブルートフォース攻撃」があります。リバースブルートフォース攻撃はパスワードを固定し、ログインIDを総当たりして入力する手法です。アクセスの際に、IDもパスワードもわからない状態で突破するために使われます。
ブルートフォース攻撃では特定のアカウントに対して不正アクセスをおこないますが、こちらはログインができればアカウントは問わないことが特徴です。
パスワード入力を一定回数間違えるとアカウントがロックされるサービスにおいて、この方法は非常に有効です。
ブルートフォース攻撃の種類
ブルートフォース攻撃には、いくつか種類があります。総当たり攻撃から他の攻撃と組み合わせまで、詳しく解説します。
総当たり攻撃
総当たり攻撃は、想定されるすべてのパスワードパターンをプログラムで自動的に試す手法です。手入力だと膨大な時間がかかるため、プログラムに入力を任せることで手間を省きます。
すべてのパターンを試すため、時間さえあればいつかは解読されますが、パスワードに使用される文字が複雑であるほど、解読に時間がかかります。また近年ではパスワードの入力回数が決まっているサービスが多く、一定回数ログインに失敗するとアカウントにロックがかかります。ロックがかかった際は一定時間待つか、認証の方法を変えるといった対応を求められます。
攻撃方法として確実ではありますが、解読に必要な時間が長くなるため、実用的でない場合が多いです。
辞書攻撃との組み合わせ
総当たり攻撃の効率を向上させるため、辞書攻撃と組み合わせることがあります。パスワードによく使われがちな文字列や、過去に解読されたID・パスワードをリスト化し、そのパターンを順番に試していくという手法です。
複数のサービスで同一のIDやパスワードを使用しているユーザーも多いため、リストを使用すれば攻撃回数が削減できます。一度漏洩したID・パスワードのセットは他のサービスでも攻撃に使用され、短時間でより多くのアカウントに不正アクセスが可能となるのです。
また、フィッシング詐欺などによりIDとパスワードが漏洩することもあります。不審なウェブサイトへの情報入力は避けましょう。
ブルートフォース攻撃の影響
次に、ブルートフォース攻撃の影響について、次の3つの点から説明します。
情報漏洩
不正アクセスされると、アカウントのIDやパスワード、個人情報が抜き取られます。これらの情報はその後も使用され、別のサービスでも不正アクセスされてしまう可能性があります。
また企業が不正アクセスされた場合、機密情報や顧客情報など、重要なデータが流出してしまいます。大企業がサイバー攻撃を受け、大量の顧客情報が流出したという事例はニュースでもよく見かけます。顧客情報の流出は企業の信頼の失墜につながるため、対策を講じなければなりません。
流出したデータは転売されることもあり、別のサイバー攻撃者に購入されることによって被害が拡大する恐れがあります。
アカウントの乗っ取り
近年ではSNSにおいて「アカウントが乗っ取られた」という話をよく耳にします。これは不正アクセスによってIDやパスワードを変更され、ユーザーがログインできなくなった状況です。
SNSだけでなく、Webサイトの管理アカウントも攻撃の対象です。サイト上のデータを改ざんしたり、顧客情報が盗まれたりします。どちらの場合も、乗っ取ったアカウントになりすまして、不適切な発言をおこなったり、スパムメールを大量に送信したりといった、信頼を失うような被害を受けることがあります。
クレジットカードなど不正利用
多くの人が持っているクレジットカードですが、クレジットカード情報の漏洩により、覚えのない買い物がされる恐れがあります。特に通販サイトのアカウントが乗っ取られた場合、登録されたカードを使用して不正な購入が行われることがあります。
また近年ではネットバンキングも普及しています。このような銀行口座へ直結しているWebサービスが不正アクセスされると、金銭の引き出しや勝手な送金がおこなわれ、直接的な金銭被害が発生します。
クレジットカード・銀行口座が被害を受けたら、すぐにカード会社や銀行に連絡し、カードの利用を止めることが重要です。
ブルートフォース攻撃の事例
次に、ブルートフォース攻撃で起きた実際の事例を2つ紹介します。
事例①セブン&アイ・ホールディングスで不正アクセスが発生
2019年7月、セブン&アイ・ホールディングスは決済サービスの「7pay」において、不正アクセスを受けたことを発表しました。運用開始からわずか3日後の出来事でした。
同月1日に運用を始めた7payは、翌日にユーザーから「身に覚えのない利用があった」と連絡があり、3日に外部から不正アクセスによる被害だと確定されました。被害者は約900人、被害総額は約5500万円にのぼりました。
7payはIDとパスワードがあれば会員登録がおこなえる状態となっており、それ以上のセキュリティ対策が採用されていませんでした。このためブルートフォース攻撃などの被害にあったものと言われています。
一連の流れを受け、7payは同年9月30日に全サービスを終了しています。
事例②名古屋大学医学部附属病院にて情報流出
2022年2月、名古屋大学医学部付属病院は教職員のメールアカウントが海外からブルートフォース攻撃を受けたことにより、アカウント内に記録されていた416名の個人情報が流出したと発表しました。
これは、教職員より、別の職員のメールアドレスから不審なメールが送付されたと報告を受けたことで発覚しました。調査したところ、報告のあった教職員のアカウントを含めて3件のアカウントに不審なアクセスが確認されたとのことです。
不正アクセスは、ブルートフォース攻撃によってパスワードが解除されたことが原因と分かっています。
ブルートフォース攻撃への対策
最後に、ブルートフォース攻撃から情報を守るための対策を紹介します。
アクセス制限をする
アクセスを特定のIPアドレスに限定し、不特定多数からのアクセスを遮断することで、ブルートフォース攻撃を含む多くの攻撃を阻止できます。
ブルートフォース攻撃をはじめサイバー攻撃は、個人や企業と全く関係のないIPアドレスから受けることが多いです。また海外からの攻撃が多いため、海外からのアクセスを制限すると被害を受けるリスクが下がります。
ただしこの方法は不正アクセスを未然に防ぐためのもので、社内のパソコンなどが乗っ取られた後では意味を成しません。セキュリティを強化する最初の段階で設定しておきましょう。
ランサムウェア対策機能を活用する
不正アクセスによってランサムウェアに感染することがあります。
ランサムウェアとは「身代金要求型マルウェア」と呼ばれる不正プログラムです。これに感染すると、パソコン等に保存されているデータが暗号化され使用できなくなります。さらに攻撃者はそのデータを復号する身代金を要求します。ブルートフォース攻撃を通じてランサムウェアに感染するリスクを低減するための対策が必要です。
対策としては、スパムメールで送られてくるURL、添付ファイルを開かないといった初歩的なことや、アンチウィルスソフトやPC監視ソフトなどセキュリティサービスを導入すると良いでしょう。
端末認証や二要素認証を活用する
端末が持つ固有の識別情報を用いることも有効です。端末認証とは、デバイスが正しいユーザーによって使用されていることを確認するセキュリティ手段です。パスワードとともに、下記のような認証方法を組み合わせることで効果を発揮します。
- 生体認証:指紋認証や顔認証
- 所持情報:認証用USBハードウェア
- 二要素認証:本人確認のためSMSやメールに送られる認証(ワンタイムパスワード)
- 端末認証:事前に承認された端末からのみアクセスできる
例としては、パスワードを入力したあとに、登録されている電話番号やSMSにワンタイムパスワードが送信され、それを入力することでログインをするという流れとなります。万が一ブルートフォース攻撃によってパスワードを突破されても、これらの認証を用いて不正アクセスを防ぐことができます。
パソコン用システムのログインで毎回SMSやメールやスマホ認証アプリでのワンタイムパスワードの入力はログインの手間が増えます。端末認証や認証用USBハードウェアはログインの手間が増えないため利用者の負担が少ないです。
パスワードの設定を厳格化する
先述したように、パスワードは文字数が多く、かつ複雑であるほど、解読できる確率は低くなります。以下のポイントを意識してパスワードを設定しましょう。
- 数字・英大小字・記号を含めて12桁を推奨
- 一般的で意味のある単語は避ける
- 個人情報(誕生日、名前など)を含めない
数字だけで12桁を使うとしても、そのパターンは1兆通りになります。そこへアルファベットの大文字や小文字、記号などを組み合わせることが防止の近道です。文字を組み合わせる際はランダムな文字列であるほどセキュリティの強度は高まります。
ただし、長く複雑なパスワードは覚えるのが困難です。そのため、Webブラウザのパスワードマネージャーに記憶させるのがおすすめです。また初回のパスワードもWebブラウザが発行するものは長い乱数なのでおすすめです。
パスワードの使いまわしをしない
「サービスごとにパスワードを覚えることができない」といった理由で、パスワードを使いまわしているユーザーは多いでしょう。しかしパスワードの使いまわしは、突破されるリスクが高まります。特に辞書攻撃においては一つでも突破されると、同一のパスワードを使用しているサービスすべてで不正アクセスされてしまいます。
あるサービスで使用していたパスワードが不正アクセスによって漏洩し、全く関係のない別のサービスがいくつか乗っ取られてしまうということはよく発生しています。それぞれのサービスで登録したメールアドレスやIDは違っていても、パスワードが同一というだけでログインされてしまうということもよく発生しています。これはメールアドレスやIDは辞書にあることが多いためブルートフォース攻撃がしやすいということでしょう。
このようにパスワードの使いまわしは、芋づる式に不正アクセスを許してしまうため危険です。
ブルートフォース攻撃対策ならibisStorage
ブルートフォース攻撃は、総当たりでパスワードを解析し、不正アクセスを試みる手法です。身近なところでの被害事例があることから、決して他人ごとではないことがわかります。
クラウドストレージのibisStorage(アイビスストレージ)は上記で紹介したアクセス制限機能やランサムウェア対策はもちろん、ブルートフォース攻撃を感知する機能により、高度なセキュリティ対策を提供します。それに加え、端末認証を併用することでよりセキュリティ強度が高まります。
ibisStorageには、他にも次のようなセキュリティ機能があります。
- 端末認証機能
- 接続元IP制限機能
- ランサムウェア対策機能
- アクセス権限管理機能
- アクセス権限管理グループ化機能
- 監査ログ機能
- アクセス権の引き継ぎ機能
- 個人フォルダの引き継ぎ機能
- データ保護機能
セキュリティ機能を組み合わせることで、ibisStorageは、ブルートフォース攻撃からデータを守り、高いセキュリティレベルを維持しています。 ibisStorageは、フリープランや無料トライアルもあるので一度試してみるとよいでしょう。
