用語集: サイバーセキュリティ用語と定義

ブルートフォース攻撃とは何ですか?

ブルートフォース攻撃は、文字や数字の可能な組み合わせを体系的に試行してパスワードやユーザー名を推測し、不正なアカウントアクセスを取得します。

ブルートフォース攻撃は、認証および承認制御を通過するために、文字、数字、記号の組み合わせを体系的に試してパスワードを発見しようとする攻撃であり、多くの場合、単語の辞書やパスワードスプレーなどの戦術が使用されます。

ブルートフォース攻撃(パスワードクラッキングとも呼ばれます)の背後にあるロジックは非常に単純です。考えられるすべてのパスワードパターンを入力するだけです。 たとえば、パスワード(パスコード)として 4 桁の PIN を使用する場合、「0000」から「9999」までの 10,000 通りの組み合わせをすべて試すことで、最終的に正しい答えにたどり着くことになります。 これを人間が手動で行うのは難しいですが、自動化ツールを使用すれば簡単に実行できます。 1 秒ごとに 1 つのパスワードを試すことができれば、最大 10,000 秒 (約 2 時間 47 分) でパスワードを解読できます。 ブルートフォース攻撃は特に高度なサイバー攻撃ではありませんが、脆弱なパスワードやセキュリティが不十分なシステムに対して有効であること、また自動化ツールキットによって攻撃者の規模拡大と実行の経済性が魅力的であることから、依然として根強く残っています。

ブルートフォース攻撃の種類

ブルートフォース攻撃にはさまざまな形態があります。 単純なブルートフォース攻撃では、正しい組み合わせが見つかるまで、数字や文字のあらゆる可能な組み合わせを体系的に試します。 この方法は、特にパスワードやパスフレーズが長い場合や複雑な場合には、時間がかかり、リソースを大量に消費する可能性があります。

より焦点を絞った手法は、事前に定義された可能性のあるパスワードまたはフレーズのリストに依存する辞書攻撃です。 従来のブルートフォース攻撃のように数字や文字のあらゆる可能な組み合わせを試すのではなく、攻撃者は正しいものが特定されるまで辞書内の各単語やフレーズを体系的に試します。 辞書攻撃は単純なブルートフォース攻撃よりも高速ですが、パスワードが十分に複雑であったり、特殊文字を使用したり、使用されている辞書に含まれていなかったりする場合は、失敗する可能性があります。 さらに、同じログイン プロンプトで辞書攻撃を使用すると、レート制限とアカウント ロックアウト制御がすぐにトリガーされます。

ハイブリッド ブルート フォース攻撃は、辞書攻撃と単純なブルート フォース攻撃の両方の要素を組み合わせたものです。 ハイブリッド攻撃では、攻撃者は従来のブルートフォース攻撃のようにランダムな文字のセットを使用し、辞書攻撃のように一般的な単語やフレーズのリストも使用します。 このハイブリッドアプローチでは、辞書にある一般的なパスワードと予測しにくい文字の組み合わせの両方を活用することで、成功の可能性が高まります。

別の形式の攻撃は、リバースブルートフォース攻撃です。 攻撃者は、特定のアカウントに対してさまざまなパスワードを連続して試すのではなく、一般的に使用されていると思われる特定のパスワード (「password1234」など) を多数のアカウント ユーザー名に適用します。 この方法は、標的のアカウントの少なくとも一部が選択されたパスワードを使用しているという前提に依存しており、失敗したログイン試行回数に基づいて緩和策がトリガーされる可能性は低くなります。

その間 クレデンシャルスタッフィング これは通常、ブルートフォース攻撃の一種とは見なされません (攻撃者は既にユーザー名とパスワードの既知のリストを持っています) が、アカウントへの不正アクセスを取得し、アカウント乗っ取り (ATO)や詐欺を行うという目的は共通しています。 クレデンシャル スタッフィングは、自動化されたスクリプトやツールを利用して、過去のデータ侵害やダーク ウェブから取得したユーザー名とパスワードの組み合わせなど、侵害された大量のクレデンシャルをさまざまなオンライン ログイン フォームに迅速に適用します。 クレデンシャル スタッフィングは、ブルート フォース攻撃のようにすべての可能な組み合わせを徹底的にテストするわけではありませんが、不正アクセスを試行するための自動化された方法であるため、重大なセキュリティ上の脅威となります。 どちらのタイプの攻撃も、 OWASP Top 10およびOWASP Automated Threatsプロジェクトでは最大のリスクと見なされています。

認証が弱い、または壊れていることも、ブルートフォース攻撃者が侵入するもう一つの手段です。 一部の認証システムでは、一定期間内のログイン試行回数を制限するロックアウトまたはスロットリング メカニズムが実装されていません。 これらの安全対策がなければ、攻撃者は制限なく繰り返しパスワードの推測を試みることができるため、ブルートフォース攻撃が成功する可能性が高くなります。

ブルートフォース攻撃は、セッション ID を推測したり、セッション管理メカニズムの弱点を悪用して有効なセッション ID を取得または乗っ取ったりするために使用される場合もあります。 攻撃者が有効なセッション ID を取得すると、それを使用して認証されたユーザーになりすまし、保護されたリソースに不正にアクセスできるようになります。

ブルートフォース攻撃の背後にある動機

ハッカーがブルートフォース攻撃を行う動機は多岐にわたりますが、一般的には悪意のある目的でシステム、ネットワーク、またはアカウントに不正にアクセスすることが目的です。

一般的な動機としては、金銭的な利益を得ることが挙げられます。攻撃者は、詐欺や窃盗を犯すために、クレジットカード番号や銀行の認証情報などの金融情報を盗もうとする場合があります。 また、個人を特定できる情報 (PII)、知的財産、または販売可能な機密ビジネス データへのアクセスを標的にする可能性もあります。 攻撃者は個人アカウントにアクセスして、個人になりすまし、詐欺行為を行うこともできます。

犯罪者は、ボットネットを構成するなど、他の形態の悪意のある行為のためにシステムを乗っ取ることもできます。ボットネットとは、複数のソースを調整して分散型サービス拒否 (DDoS) 攻撃を仕掛ける攻撃者の制御下にあるデバイスのネットワークです。

ブルートフォース攻撃によるシステムやアカウントへの不正アクセスは、マルウェアやスパイウェアを拡散させたり、卑猥な、または不快なテキストや画像で Web サイトを攻撃して、企業や Web サイトの評判を脅かしたりする可能性もあります。 ハッカーは、ブルートフォース攻撃を使用して広告やアクティビティデータを悪用し、不正アクセスを利用してウェブサイトにスパム広告を掲載して広告手数料を得たり、意図したウェブサイトから悪意のあるサイトにトラフィックをリダイレクトして認証情報を盗んだりユーザーを騙したりすることもできます。 

ブルートフォース攻撃を防ぐ方法

ブルートフォース攻撃のリスクを軽減する方法はいくつかありますが、以下の対策を複数実施することで、攻撃者がパスワードを推測したり、ログイン試行を繰り返して不正アクセスしたりすることがより困難になります。 これらには以下が含まれます:

  • 強力で複雑なパスワードを使用する。 強力なパスワードは、システムやデータへの不正アクセスに対する第一の防御線です。 適切に定義されたパスワード ポリシーにより、ユーザーは大文字と小文字、数字、特殊文字を組み合わせた安全なパスワードを作成して維持できるようになります。 パスワードクラッキングツールがますます高度化しているため、長いパスフレーズは単純なパスワードよりもはるかに保護力が高くなります。 ポリシーでは、クレデンシャルスタッフィング攻撃やアカウント乗っ取りの主な原因であるパスワードの再利用を禁止する必要があります。 
  • 多要素認証 (MFA) を採用します。 MFA では、ユーザー名とパスワードまたはパスフレーズを入力することに加えて、アプリケーション、リソース、オンライン アカウント、またはその他のサービスにアクセスするために、ユーザーが追加の要素を提示する必要があります。 一般的には、電子メールや SMS メッセージからワンタイム パスコードをスマートフォンやブラウザに入力したり、指紋や顔のスキャンなどの生体認証情報を提供したりすることがよく行われます。
  • アカウント ロックアウト ポリシーを実装します。 ログイン試行が一定回数失敗すると、指定された期間、または管理者が手動でロックを解除するまで、ユーザー アカウントがロックされます。 これにより、攻撃者がパスワードを繰り返し推測しようとすることを防ぎます。 レート制限は、指定された期間内に単一の IP アドレスまたはユーザー アカウントからのログイン要求の数を制限するためにも使用できます。
  • 機密データを暗号化します。 保存中および転送中の機密データを暗号化することで、攻撃者がシステムに不正にアクセスしたとしても、暗号化キーがなければデータを読み取ることができなくなります。 これにより、攻撃者はデータを復号化するために暗号化キーを必要とするため、ブルートフォース攻撃の効果が低下します。
  • ソフトウェアを最新の状態に保つ。 攻撃者が悪用する可能性のあるセキュリティの脆弱性に対処するために、オペレーティング システム、Web サーバー、アプリケーションを含むすべてのソフトウェアに定期的にパッチが適用され、更新されていることを確認します。
  • ボット管理と Web アプリケーション ファイアウォールを導入します。 自動化された攻撃を阻止するソリューションを導入することで、ブルート フォース攻撃などの悪用から重要なビジネス ロジックを保護できます。  

F5 はブルート フォース攻撃をどのように処理しますか?

OWASP (Open Worldwide Application Security Project)の Web アプリケーションに対する自動化された脅威プロジェクトでは、ブルート フォース攻撃を資格情報クラッキング攻撃の一種として特定しています (OAT-007) 。 F5 は、OWASP の自動化されたリスクの多くに対処するソリューションを提供します。 F5 Distributed Cloud Bot Defense は、ボットと悪意のある自動化を阻止し、既存のボット管理ソリューションを回避できる ATO とその結果生じる詐欺や不正使用を防止します。 Distributed Cloud Bot Defense は、リアルタイムの監視とインテリジェンス、および ML ベースの遡及分析を提供し、ブルート フォース手法を使用する攻撃を含む自動化された攻撃から組織を保護します。

F5 Web アプリケーション ファイアウォール (WAF) ソリューションは、OWASP によって特定された幅広いリスクをブロックし、軽減します。 F5 WAF ソリューションは、F5 Labs の脅威インテリジェンスや ML ベースのセキュリティなどのシグネチャ保護と動作保護を組み合わせて、新たな脅威に対応します。 ブルートフォース攻撃を防ぐために、WAF は設定されたログイン URL へのアクセスに失敗した試行回数を追跡します。 ブルート フォース パターンが検出されると、失敗したログオン率が大幅に増加した場合、または失敗したログインが最大しきい値に達した場合に、WAF ポリシーはそれを攻撃と見なします。

F5 WAF ソリューションは F5 ボット防御ソリューションと統合され、脆弱性の悪用や自動化されたブルート フォース攻撃などの主要なセキュリティ リスクに対する強力な軽減策を提供します。