多くの企業では、悪意のある第三者による侵入を防ぐために、ネットワークやシステムへのログイン認証でパスワードの入力が必須となっているでしょう。

ところが、近年は特殊な方法でパスワードを解読して不正に侵入する「ブルートフォース攻撃」の手口が懸念されています。

本記事では、ブルートフォース攻撃の仕組みや企業に与える影響、対策についてお伝えします。

ブルートフォース攻撃とは？

ブルートフォース攻撃とは、考え得るすべてのパスワードの組み合わせを試すことにより、総当たりで正しいパスワードを探り当て、不正アクセスを行う手口のことです。

「ブルートフォースアタック」や「総当たり攻撃」とも呼ばれます。
セキュリティ対策で使われるパスワードは、桁数に応じて組み合わせのパターンが増え、3桁で1,000パターン、4桁で10,000パターンにも達します。
そのため、人間の力ですべてのパターンを試してパスワードを解読するには時間と手間がかかり、非常に困難です。

しかし、ブルートフォース攻撃ではコンピューターを使って総当たりによるパスワードの解読が行われます。
性能の高いコンピューターを利用することで、より短時間で容易にパスワードの解読が可能となり、セキュリティ上の脅威とみなされているのです。

ブルートフォース攻撃の仕組み

ブルートフォース攻撃では、特定のIDに対するパスワード候補を挙げ、機械的にログインを試行します。
このようにランダムな文字列を総当たりしてパスワードを解読する手口のほかに、よく使われるパスワードのリストを参考に正しいパスワードを推測する「パスワードリスト攻撃」の手口も存在します。

多くの認証システムでは、一定回数以上パスワードの誤りが発生した場合、アカウントのロックや一定時間にわたるログイン制限などの措置がとられるのが一般的です。
そのため、ブルートフォース攻撃では突破が難しいケースも少なくありません。
しかし、ユーザーが簡単に推測されやすいパスワードを設定している場合は、ブルートフォース攻撃＋パスワードリスト攻撃で認証を突破される確率が高まります。

さらに近年では、特定のよく使われるパスワードを使って、多数のIDへ次々とログインを試行する「リバースブルートフォース攻撃」の手口も広まっています。

ターゲットの中に簡単に推測されやすいパスワードを設定しているユーザーがいた場合、IDへの総当たりによって認証を突破されてしまうのが注意点です。

ブルートフォース攻撃の語源

英語の「brute force」という言葉には、「力づくで行う」という意味があります。

前述の通り、ブルートフォース攻撃は総当たりによる強引な方法で正しいパスワードを解読するのが特徴です。
こうした特徴から、パスワードを総当たりする手口は「ブルートフォース」と呼ばれています。

ブルートフォース攻撃が企業に与える影響

企業がブルートフォース攻撃を受けて、悪意のある第三者による不正ログインが発生した場合、情報漏えいの被害が発生するおそれがあります。
社内のネットワークやシステムへの不正ログインによって、社員や顧客の個人情報や自社の機密情報などを窃取される可能性があるでしょう。

大規模な被害が発生すれば、さらには企業の信頼失墜につながるリスクもあります。
ブルートフォース攻撃の危険性を踏まえて、パスワード強化の対策を講じることが重要です。

ブルートフォース攻撃の対策

ブルートフォース攻撃への基本的な対策として、「password」や「12345」のような簡単に推測されやすいパスワードを使用しないことが挙げられます。

パスワードは桁数が多いほど考え得る組み合わせのパターンが増えるため、目安として8桁以上の文字列で設定するのが望ましいでしょう。
また、英字小文字のみで構成されたパスワードよりも、英字小文字・英字大文字・数字など多様な種類を組み合わせた複雑なパスワードのほうが、総当たりで突破されにくくなります。

このほかに、他要素認証の導入や、ログイン回数制限もブルートフォース攻撃の対策として効果的です。
他要素認証では、従来のIDとパスワードによる認証に加えて、セキュリティコードの入力や生体認証などの方法で認証が行われるため、不正アクセスの難易度が高まります。

さらに、パスワードエラーが一定回数を超えた場合、アカウントをロックしたり、一定時間にわたりログインを制限したり、ユーザーに通知を行ったりするのも有効です。

ブルートフォース攻撃による被害事例

国内でもブルートフォース攻撃による大規模な被害が発生しています。
以下、実際に発生したブルートフォース攻撃の被害事例をピックアップしました。

大手コンビニチェーンの被害事例

ブルートフォース攻撃を受けた、大手コンビニチェーンの事例です。
この事件では、登録していたクレジットカードやデビットカードから無断でチャージされ、全国の店舗で不正に買い物が行われました。
被害総額は5,500万円、900人以上のユーザーが被害に遭ったとされます。

大手証券会社の被害事例

2020年、大手証券会社において、顧客6人の証券口座から9,864万円が不正に流出する事件が発生しました。
悪意ある第三者が証券口座に不正アクセスし、偽の口座へと現金を送金しました。
偽の口座の開設には、偽造された本人確認証が用いられたとされます。

また、この事件では「リスト型アカウントハッキング」の手法が使われました。
これは過去に流出したIDやパスワードを用いて、様々なログインを試みるものです。

こうした被害を防ぐためにも、企業はブルートフォース攻撃に備えた強固なセキュリティ対策が求められます。

まとめ

企業がセキュリティ対策を強化する際は、情報セキュリティ担当者が最新の手口を把握した上で、対策を講じることが大切です。
スターティアでは、企業様向けにセキュリティ対策のソリューションをご用意しています。

昨今は、リモートワークで社員がオフィス外から社内のシステムにアクセスする機会が多くなりました。

ビジ助のサービス「リモートワーク環境の構築」なら、リモートワークに適した高度なセキュリティ環境を構築するためのご提案をいたします。

ブルートフォース攻撃に備えた社内環境の見直しに、ぜひお役立てください。

おすすめ資料ランキング

2022.03.04

サイバー犯罪の概況とセキュリティ対策　2022年度版（全24P）

続きを読む

2022.03.03

ヒューマンエラーを防止する方法9選（全21P）

続きを読む

2022.02.16

知らなかったじゃすまない “改正”個人情報保護法 対策ブック（全45P）

続きを読む

2022.01.26

電子帳簿保存法改正対策ブック（全37P）

続きを読む

【著者・監修者企業】

スターティア株式会社

弊社はパソコン周り、オフィス環境、法律の改正、コスト削減など、ビジネスに関わるお困りごとの解決策を提供する当サイト「ビジ助channel」を運営しています。

資格

一般建設業 東京都知事許可（電気通信工事業）：(般-4)第148417号
古物商 東京都公安委員会許可（事務機器商）：第304361804342号
労働者派遣事業 厚生労働省許可：派13-316331
小売電気事業者 経済産業省登録：A0689
電気通信事業者 総務省届出：A-29-16266
媒介等業務受託者 総務省届出：C1905391

関連SNS

• 
• 
• 
•