【法人向け】ブルートフォースアタック(攻撃)とは?企業の情報資産を守るための対策法などを紹介
ログインIDやパスワードに対する攻撃の一つに、ブルートフォースアタック(攻撃)があります。毎日のように情報漏洩に関するニュースが飛び交うなか、大切な個人情報や企業情報を守るためにはどのような対策を講じればよいのでしょうか。
この記事では、ブルートフォースアタックの概要と攻撃方法、考えられる被害について解説していきます。また対策方法も詳しく解説するので、ぜひ参考にしてください。
■ブルートフォースアタック(攻撃)とは?
ブルートフォースアタックとは、ユーザーのパスワードを解読するために、IDを固定し、ロックが解除できそうなパスワードのパターンを手あたり次第にすべて試す「総当たり攻撃」のことです。
パスワードの設定が数字4桁の場合は、1万通りのパスワードが存在します。そのため1万通りすべてのパスワードを試せば、確実にログインが可能となります。
大抵の場合はパスワードの試行回数に制限があり、例えば3回パスワードを間違えるとロックがかかり、一定時間利用できなくなる、など対策が採られているものの、ブルートフォースアタックは、多用な攻撃方法によってパスワードを解除します。
ブルートフォースアタックは強引なサイバー攻撃であり、正しい対策をしなければ、アカウントや大切な情報が乗っ取られてしまう危険性があるのです。
■パスワードにまつわるサーバー攻撃の種類
ここでは、ブルートフォースアタックとなる3つの攻撃パターンと、攻撃方法が似ている「辞書攻撃」をあわせて紹介します。
◇リバースブルートフォース攻撃
リバースブルートフォースアタックは、パスワードを固定して該当するIDがないかを試みます。多くのID・パスワード入力は、パスワードの入力を間違えることでログインに制限がかかる仕様となっています。一方で、IDは何度間違えても制限されない仕様が多く、その隙を突いたのがリバースブルートフォースアタックです。
◇パスワードリスト攻撃
パスワードリスト攻撃とは、ログインに成功したID・パスワードを流用し、他のWebサイトでもログインできないかを試す手法です。
近年、一人で多くのアカウントを管理する人が増えており、IDやパスワードを使いまわしているケースが多々あります。この場合、パスワードリスト攻撃を受けると、複数のアカウントやシステムを乗っ取られる危険性が高くなります。
◇パスワードスプレー攻撃
パスワードスプレー攻撃は、いくつかの同じパスワードを使用して、同時に複数のアカウントへのログインを試みる方法です。
◇辞書攻撃
辞書攻撃とは、ブルートフォースアタックで抜き出すことに成功したIDとパスワードを辞書に登録し、その辞書から特定のパスワードを引き出して攻撃する方法です。
単語同士を組み合わせたり、大文字と小文字を変えたりすることも可能なため、使用者が覚えやすい、単語や誕生日を組み合わせたようなパスワードが被害に遭う傾向にあります。
■ブルートフォースアタック(攻撃)による被害とは
ブルートフォースアタックを受けることで、どのような被害が発生するのでしょうか。
◇パスワードにより保護されていた企業情報の漏洩
情報漏洩を防止するためのパスワードが突破されることで、重要な企業情報が流出してしまう可能性があります。
パスワードは企業の情報資産を保護するための砦のようなものです。誰にでも推測できてしまうようなパスワードは破られる可能性があるため、避ける必要があります。
最近のサービスでは、単純な文字列をパスワード設定できないよう規制している場合もあります。
◇アカウントの不正利用や改ざん
Webサイトなどを管理しているサービスのID(メールアドレス)とパスワードが破られた場合は、サイト内容の改ざんやアカウントの不正利用が考えられます。
企業で用いるメールアドレスはルールが決まっているため、展示会などの場で攻撃対象となるメールアドレスを入手されてしまうこともあります。社員の氏名をもとにブルートフォースアタックの被害に遭う可能性が高く、注意が必要です。
◇サーバーに負荷がかかる
ブルートフォースアタックは、攻撃対象のサーバーに与える負荷も莫大です。
サーバーは攻撃を受けている間、1秒間に数十回と送られてくるログイン情報をチェックし、休まず返信し続けます。そのため、サーバーに大きな負荷がかかり、ひどい場合にはサーバーがダウンしてしまうこともあります。
■パスワード管理でブルートフォースアタック(攻撃)を防ごう
ブルートフォースアタックを防ぐには、どのような対策を講じればよいのでしょうか。
◇SAML認証&多要素認証を導入する
多要素認証とは、「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせる認証方法です。なかでも生体情報はセキュリティが強く、生体情報が必要となるサービスにログインすることはほぼ不可能とされています。
ワンタイムパスワードも安全性の高い認証方法です。認証時に毎回新しいパスワードを使用するため、高い安全性が必須の金融機関でよく利用されています。
なお、パスワード認証のまま多要素認証にしても、セキュリティ対策が万全とはいえません。直接SaaS(Gmailなどのクラウドで提供されるサービス)にアクセスされてしまうと、攻撃を許してしまう可能性があるからです。パスワード利用せずSAML認証と多要素認証というセキュリティを強化する認証方法を組み合わせるという方法がおすすめです。
◇ログイン回数に制限をかけアカウントを自動ロック
ログインの試行回数を制限して、攻撃を防ぐ方法もあります。
例えば、ログイン試行回数の上限を3回にし、3回以上パスワードの入力に失敗した場合、自動的でロックがかかるといった仕組みです。一度ロックがかかると、ユーザーはメールやSMSなどの認証を得てパスワードの再設定が求められます。
ただし、先述のとおりログイン回数の制限でブルートフォースアタックを完全に防ぐことはできません。ブルートフォースアタックは、ログイン制限を想定した攻撃だからです。より強固なセキュリティとするためには、パスワード認証ではなくSAML認証+多要素認証を利用することが重要です。
◇複雑なパスワード設定にする
SAML認証が利用できないサービスの場合、パスワード設定は、名前や生年月日などの単純な文字列は避けるようにしましょう。できる限り長く、意味のある言葉を避けた文字列で12桁以上のものが有効です。
企業の場合は個々の従業員に任せるのではなく、管理者がパスワードを用意して従業員に配布することも有効です。
■ブルートフォースアタックに強い「トラスト・ログイン」
「トラスト・ログイン」は、ブルートフォースアタックに対して強いセキュリティ効果を発揮するサービスです。トラスト・ログインには以下の特徴があります。
- シングルサインオンで複雑なパスワードを管理
- 多要素認証SAML認証が使える
ブルートフォースアタックを防ぐためには、サービスごとに複雑で長いパスワードをそれぞれ設定する必要があります。しかし、サービスごとにパスワードを変更していると覚えるのが大変です。
トラスト・ログインには、1つのIDとパスワードで、複数のサービスを利用できる「シングルサインオン」という機能があります。
このため、複雑なパスワードを設定したとしても、1つのIDとパスワードを覚えるだけで、複数のサービスにログインすることができ、利便性の向上にもつながります。
さらにSAML認証や多要素認証も設定できるため、サービス自体がパスワードの攻撃を受ける心配がほとんどありません。
トラスト・ログインは導入コストが低く、月額300円ですべての機能を利用することができます。また無料プランもあるため、サービス導入時に機能を試すことも可能です。
現在、シングルサインオンに対応しているアプリは5,500種類以上。サービスを提供しているGMOグローバルサインはSSL認証局として20年以上の実績があり、信頼性も抜群です。大切な企業情報を守るために、トラスト・ログインの導入を検討してみてはいかがでしょうか。
■まとめ
ブルートフォースアタックの攻撃手段やその被害、対策方法について解説してきました。
ブルートフォースアタックの被害に遭うと、個人情報の漏洩やシステムの不正利用など、会社に大きな損害が生じる可能性があります。そうした被害に遭わないためにも、パスワードや認証方法のセキュリティ強化が重要です。
現代社会において情報は大きな財産です。トラスト・ログインなどのサービスを利用して、大切な情報をしっかりと守ることが求められるのです。
無料で使える「トラスト・ログイン(旧 SKUID)」の資料請求はこちら
この記事を書きました
森 智史
所属:GMOグローバルサイン トラスト・ログイン事業部
トラスト・ログイン プロダクトオーナー
