定義
ブルートフォースアタック(総当たり攻撃)では、サイバー犯罪者はアプリケーションプログラムを使用してパスワードや暗号キーを解読し、ネットワークやシステムへの不正アクセスを試みます。サイバー犯罪者は、攻撃に戦略的または知的な方法を使用しません。代わりに、ブルートフォース(「力ずく」の意味)を使って侵入しようとします。この用語自体が、すべて試行錯誤に依存するかなり単純なパスワードクラッキング方法の幅広いバリエーションを示しています。
サイバーセキュリティ教育とトレーニングを始めましょう
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
ブルートフォースアタックの仕組み
ブルートフォースアタックが実行されるのは、アプリケーションやハッシュ化または暗号化されたパスワードの値です。アプリケーションには、パスワードを手当たり次第試す行為を自動的に阻止するサイバーセキュリティのルールが備わっているため、攻撃者にとっては盗んだパスワードを利用した総当たり攻撃がより一般的です。アプリケーションに対する攻撃に着手する場合、攻撃者は合致する組み合わせが見つかるまで、自動化ソフトウェアを使ってリストに載っているユーザー名とパスワードを実行します。一致するものが見つかり、その他の保護対策がなされていなければ、攻撃者はユーザーアカウントにアクセスできます。
さらによく見られるブルートフォースアタックでは、暗号化やハッシュ化からユーザーパスワードを「予測して当てる」ことで行われます。パスワードの暗号化には、パスワードを解読するプライベートキーを使います。この鍵にアクセスできる攻撃者が、パスワードを解読できます。または、鍵値の予測を試みるツールを使うこともあります。保存しているパスワードには通常、一方向性で解読できないハッシュ化が実行されています。代わりに、攻撃者が使うのは辞書に載っているありえそうなパスワードをハッシュ化したもので、その値が、盗んだハッシュ化済みパスワードの値と一致すれば、攻撃者はパスワードを総当たりで試し当てることに成功するのです。
パスワードをクラックすることで、攻撃者はユーザーアカウントにアクセスできるようになります。ハッカーがユーザーの認証情報を手に入れる理由はさまざまです。金銭を盗むため、またはユーザーの個人情報(PII)にアクセスするためかもしれません。悪質なコードをシステム上に組み込むためにアカウントを悪用する攻撃者もいれば、システム内の別ユーザーに悪意あるファイルを送信するためにアカウントを利用する攻撃者もいます。管理者アカウトの認証情報を盗むと、攻撃者がサーバーのトラフィックをハイジャックし、ウェブサイトのコンテンツに広告を埋め込み、組織内ネットワークのデータベースからデータを盗み、重要なインフラにマルウェアをインストールすることなどができてしまいます。ブルートフォースアタックからの損害は、盗まれたアカウントの権限の高さやアプリケーションの種類により変わってきます。
ブルートフォースアタックがうまくいくと、その他に実行できることがあります。
- フィッシングへとつながるリンクやマルウェアの入った添付ファイルを開封させるために、従業員やユーザーを騙すメッセージを送信する。
- システムや組織内部のインフラストラクチャーにマルウェアを格納する。管理者のデバイスでマルウェアが実行されると、攻撃者は組織内でのレベルが高い認証情報を盗むことができる。
- アプリケーションの評判を下げるようなメッセージを顧客に送信する。
- トラフィックを傍受できるマルウェアを忍ばせるなど、サーバープロセスをハイジャックする。
- 広告収入を得るためにアプリケーションにアドウェアを入れる。
- 攻撃者の支配下にあるサーバーへとトラフィックをリダイレクトする。
ブルートフォースアタックのツール
ブルートフォースアタックは通常、自動化されています。人間がアプリケーションで1分間に入力できるパスワードはわずかですが、コンピュータでは、ものの1分で予測パスワードを(接続スピードにもよりますが)数百から数千回処理します。ブルートフォースアタックを展開する際に、攻撃者は自動化を活用しています。Pythonなど、自分の好む言語を使ってスクリプトを作成するケースもみられます。
パスワードへのブルートフォースアタックに用いられるハッカーツールの例:
- Aircrack-ng
- John the Ripper
- L0phtCrack
- Hashcat
- DaveGrohl
- Ncrack
パスワードクラッキングツールの他に、攻撃者はシステムで脆弱な場所を探すスキャナーも実行して、システムに入っている更新されていないソフトウェアを特定し、標的となるアプリケーションに関する情報を見つけ出します。管理者は常に対外的に利用するサーバーを更新し、パッチを当て、システムがスキャンされた場合にそれを割り出せるモニタリングソフトウェアを使うべきです。
ProofpointでBECとEACを阻止
高度なサプライヤー請求書発行攻撃を含むメール詐欺を防ぎます
ブルートフォースアタックの種類
ブルートフォースアタックの一般的な定義は、一致する文字列が見つかるまで、ユーザーの認証情報を推測することです。しかし、最高の結果を得られるよう、ハッカーは多様なブルートフォース戦略を使います。企業は各ブルートフォースアタックの種類に対応する戦略を策定する必要があります。
ブルートフォースアタックの種類は次の通りです。
- 単純なブルートフォースアタック: 標的ユーザーについての知り得た情報を使って、言葉や値の組み合わせを入力することで、攻撃者がユーザーのパスワードを推測します。パスワードが長いほど、攻撃に時間がかかります。
- 辞書攻撃: 多くのブルートフォースアタックでは、辞書の言葉やフレーズのリスト、インターネットからダウンロードした「よく使われているパスワード」を利用します。
- ハイブリット ブルートフォースアタック: ハイブリット攻撃は、単純な攻撃法と辞書攻撃を合わせたものです。攻撃者が辞書の語句とフレーズと標的ユーザーに関する情報を合わせて使う方法です。この方法では、一般的にパスワードを作成するのに使う、誕生日など標的のプライベートな情報と辞書の言葉を使用します。
- リバースブルートフォースアタック: パスワードのリバースブルートフォースとは、すでにわかっているパスワードのリストを手に入れ、ユーザー名がわかるまで申込書などを自動で送信する方法です。この方法を使う攻撃者は盗難パスワードの一覧をダークネットマーケットで購入し、認証情報が一致するものを探すため、ユーザーアカウントに当てはめていきます。
- クレデンシャルスタッフィング: ユーザーはいくつものサイトで、同一のパスワードを使いがちです。ひとつのサイトでアクセスできたユーザーパスワードは、別のサイトでも攻撃者に使われる可能性があります。これをクレデンシャルスタッフィングといいます。
ブルートフォース攻撃への対策
ブルートフォースアタックを防ぎ、検出することを助長するために管理者ができるいくつかの対策があります。最初のステップは、弱いパスワードが作成できなくなるより優れたパスワードのルール を設定することです。重要ではないシステムであっても、パスワードは大文字、記号、数字を含む最低10文字は必要です。重要なシステムでは、12文字以上であるべきです。 暗号化した強力なパスワードであれば、コンピュータでの総当たりによりパスワードを割り出すのに数十年はかかります。
以下では、ブルートフォースアタックを防ぐその他の戦略を解説します。
- パスワード試行回数に上限を設ける: アプリケーションに、アカウントをロックするまでのパスワード試行回数に制限を設け、回数が制限を超えた場合にCAPTCHAを表示することもできます。これにより自動化されたブルートフォースアタックを防ぎ、可能性のあるパスワードを数百回試すことが不可能な場所で攻撃を足止めします。
- 複数回のログイン試行後にアカウントをロック: こうすることで、ブルートフォースアタックを続けられなくします。
- 怪しいI Pアドレスをブロックする: 1つのI Pアドレスから非常に多くログインが試みられている場合、そのI Pアドレスを自動的に短時間ブロックする、または管理者の手でブラックリストに追加することもできます。
- 二要素認証(MFA): パスワードでブルートフォースアタックを成功させる攻撃者には、二要素認証によりアカウント認証を阻止します。
ソフトウェアモニタリングでは、ブルートフォースアタックを検知し、怪しい行動を管理者に警告します。ブルートフォースアタックが明らかになる時点には、すでに、そのアプリケーションではアカウントが乗っ取られようとしている可能性もあります。これらの攻撃は情報漏洩しているかを確かめるために、ネットワークを追加で調べ直すキッカケとなり得ます。