ブルートフォースアタックとは？ ユーザー アカウントを安全に保つ方法

パスワードだけではユーザー アカウントを保護できませんが、可能です。

そのためだけに共通のパスワードを設定すると、偽装したセキュリティの保証が得られます。 ただし、多くの場合、パスワードは予測可能であるため、ブルート フォース攻撃の標的になりやすくなります。

ブルート フォース攻撃は、機密情報を盗んだり解読したり、ユーザーの資格情報や暗号化キーをクラックしてシステムをマルウェアに感染させたりしようとします。 次のようなセキュリティ ソリューション  多要素認証 (MFA)   システムは、ブルート フォース攻撃からユーザー アカウントを保護するための強固な防御を備えています。

防御の最前線としてユーザー向けに MFA を実装し、さまざまな予防手段で MFA を充実させることができます。

ブルートフォースアタックとは？

ブルート フォース攻撃は、ユーザー ID とパスワードの可能な組み合わせをチェックして、認証システムに侵入し、Web アプリケーションまたはオペレーティング システムに正常にログインする体系的なアプローチです。

ブルート フォース攻撃は、ユーザー ID とパスワードだけに限定されません。 一般に、ブルート フォース攻撃とは、一貫した試行錯誤のプロセスを通じて機密情報を明らかにしようとする試みの回数を指します。 また、パスワード設定中に作成されたもっともらしい暗号化キーを推測して検証することも含まれます。これは、一般に徹底的なキー調査として知られています。

攻撃者は、主にパスワード クラッキングにブルート フォース攻撃を使用します (つまり、設定されたパスワードの脆弱性を悪用し、不正アクセスを取得します)。 このタイプの  サイバー攻撃  認証メカニズムに侵入し、悪意のあるハッカーが IT 資産にアクセスできるようにします。

ブルート フォース攻撃は、攻撃者が簡単に悪用できる脆弱性を見つけられない場合に使用される暗号解読攻撃です。 攻撃者が、期待される利益をもたらさない可能性のある脆弱性を悪用するために多大な努力をすることは意味がありません。

このようなシナリオでは、ブルート フォース攻撃が攻撃者にとって最適な手段になる可能性があります。これは、実行が容易であり、実行に成功した場合にかなりの非倫理的な利益をもたらす可能性があるためです。 攻撃者は、一連のログイン ID とパスワードを使用してパスワード推測プロセスを自動化し、認証と暗号化プロトコルをクラックして利益を得ます。

短いパスワードは、攻撃プロセスで簡単に推測でき、比較的速く推測できますが、長いパスワードはかなりの時間と計算能力を消費する可能性があります。

ハッカーがブルート フォース攻撃を行うのはなぜですか?

サイバー犯罪者は通常、ブルート フォース攻撃を行って機密情報を明らかにし、システムにアクセスします。 攻撃の背後にある意図は、情報を使用してアクセスを取得し、資産または組織に対するより大規模なサイバー攻撃を収束させることです。

ハッカーは、パスワードやパスフレーズをブルート フォース攻撃して、アカウントやネットワークをデータ侵害に対して脆弱にする可能性があります。 サード パーティのユーザー資格情報を収集することも、ブルート フォース攻撃の目標になる可能性があります。 これらの資格情報は、後で被害者のデータから非倫理的な利益を得たり、世間の評判を傷つけたりするために使用される可能性があります。

攻撃者は総当たり攻撃を使用して実行できます  ソーシャルエンジニアリング  侵害されたユーザー アカウントを介してフィッシング メールを送信することによる攻撃。

ハッカーはいつブルート フォース攻撃を使用しますか?

悪意のあるハッカーは通常、ターゲットを犠牲にする十分な時間があれば、ブルート フォース攻撃ルートを利用します。 ブルート フォース攻撃は、時間のかかる長いプロセスになる可能性があります。 いくつかの可能なパスワードの組み合わせまたは暗号化キーを実行する必要があります。

ユーザー資格情報の文字列の長さが長くなると、予想されるクラック時間も長くなります。 それはゆっくりですが、平凡な航海のプロセスです。 十分な時間があれば、攻撃者はブルート フォース攻撃を実行してパスワード ベースのシステムをクラックし、技術的な脆弱性を悪用することなく被害者の資産にアクセスできます。

ブルートフォース攻撃の種類

攻撃者がブルート フォース攻撃を収束させるために使用できるさまざまな手法があります。 攻撃から身を守るための信頼できる防御メカニズムが必要です。

単純なブルート フォース攻撃

単純なブルート フォース攻撃では、攻撃者が論理的な推測を行って認証システムをクラックします。 これらはソフトウェア ツールによって支援されるのではなく、ツールが持つ可能性のある詳細に基づいています。

たとえば、「name12345」または「name@123」、および数字と文字のパスワードとして他のいくつかのバリエーションをチェックします。 個人識別番号 (PIN) の場合、攻撃者は、あなたの誕生年または誕生年を逆の順序で調べたり、あなたやあなたの家族に関連する同様の番号を調べたりする可能性があります。

ハイブリッド ブルート フォース攻撃

攻撃者は、ロジックの範囲を超えて可能なパスワードを推測し、一般的な (またはトレンドの) 単語とランダムな文字の組み合わせを考えて、ハイブリッド ブルート フォース攻撃を実行します。 これには、「marvel2020」や「bitcoin36000」などのパスワードのチェックや、類似のバリエーションが含まれます。

潜在的なパスワードを特定する外部ロジックから開始し、いくつかの可能な組み合わせを試してテストする単純なアプローチに進みます。

逆ブルートフォース攻撃

逆ブルート フォース攻撃は、既知のパスワードを使用して開始し、それを複数のユーザー ID に対してテストします。 攻撃者は一般に、インターネット上で共有されている漏えいしたパスワードを踏み台として使用し、一致するユーザー ID を見つけて、ターゲットの資産にアクセスします。

逆ブルート フォース攻撃では、攻撃者は特定のユーザーをターゲットにするのではなく、特定のパスワードのユーザー ID を見つけます。

クレデンシャル スタッフィング

Credential Stuffing は、多くのユーザーが複数のシステムで同じユーザー名とパスワードを持つことができるという事実を悪用します。 攻撃者は、さまざまな Web サイトで侵害されたユーザー名とパスワードのペアを使用して、一致するものを見つけます。

攻撃者は Credential Stuffing を利用してユーザー アカウントを乗っ取ります。 データ侵害やパスワード ダンピング サイトから流出したユーザー資格情報を取得すると、ソーシャル メディア プラットフォームやオンライン マーケットプレイスなどの複数の Web サイトと照合します。 攻撃者は、クレジット カードの詳細、社会保障番号、およびその他の機密データを盗み、一致するものを見つけて新たな悪質な活動を実行する可能性があります。

辞書攻撃

辞書攻撃では、攻撃者は、通常の単語 (辞書にあるような) を、パスワード クラッキングで典型的な一連の数字または特殊文字と組み合わせて使用​​する必要があります。 攻撃者は、標準の辞書または悪意のある目的で作成された独自の辞書を使用する可能性があります。 たとえば、steam、steel、stepe などのパスワードをチェックする場合があります。

ユーザーはパスワードに日常的な単語を使用する傾向があるため、辞書攻撃が成功することがよくあります。

レインボーテーブルアタック

レインボー テーブルは、事前に計算されたパスワードとそのハッシュ値の辞書です。 システムでは、パスワードはプレーン テキストとして保存されず、暗号化を使用してハッシュされます。 ユーザーがパスワードを入力すると、対応するハッシュ値に変換され、保存されたハッシュで検証されます。 一致した場合、ユーザーは自分のアカウントにアクセスできます。

攻撃者はレインボー ハッシュ テーブルを利用して、レインボー テーブル攻撃でパスワードをクラックします。 複数のテキストが同一のハッシュ値を持つ可能性があるため、攻撃者がハッシュで認証できる限り、実際のパスワードを知る必要はありません。

レインボー テーブル攻撃は準備に十分な時間がかかりますが、実際の攻撃は、アルゴリズム トレードによって時間の短縮に伴ってスペースの使用量が増加するため、はるかに高速です。

ブルートフォース攻撃の例

ブルート フォース攻撃の最終目標は、データを盗んだり、サービス提供を妨害したりすることです。 その結果、これらの攻撃は、組織のセキュリティ体制に対する重大な脅威となっています。

最近の歴史からのブルートフォース攻撃の注目すべき例は次のとおりです。

• 2013 年、 GitHubはブルート フォース攻撃の犠牲者となり、安全に保存された複数のパスワードが侵害されました。 ブルート フォース ログインの試行は、約 40,000 の一意の IP アドレスから行われたことが確認されました。
• クラブ ニンテンドーは、2013 年に 25,000 人のフォーラム メンバーに影響を与えるブルート フォース攻撃の標的になりました。
• Alibaba の TaoBao は、2016 年にブルート フォース攻撃を受け、2,100 万のユーザー アカウントが侵害されました。 攻撃者は、9,900 万近くのユーザー名とパスワードを含むデータベースを使用して、既存の TaoBao ユーザー アカウントをブルート フォース攻撃しました。
• Mozilla Firefox のマスター パスワード機能は、2018 年にブルート フォース攻撃の被害を受けました。公開されたユーザー資格情報の数は不明です。 2019 年に、Firefox はこの問題を解決するための修正を導入しました。
• 2018 年、 Magentoは 1000 近くの管理パネルを侵害するブルート フォース攻撃を受けました。

総当り攻撃ツール

ブルート フォース攻撃は、一致するものが見つかるまでユーザーの資格情報をチェックする自動化されたツールを使用して実行されます。 多くのユーザー名とパスワードが考えられるため、手動でのテストは難しくなります。 その結果、攻撃者は自動化を利用して、そのような状況で推測プロセスを促進します。

ブルート フォース攻撃ツールの有名な例を次に示します*。

• THC Hydraは、30 を超えるプロトコル (HTTP、FTP、HTTPS など) に対して辞書攻撃を実行することにより、ネットワーク認証をクラックします。
• Aircrack-ngは、Wi-Fi 802.11 に対してブルート フォース攻撃を実行し、WEP/WPA/WPA2-PSK クラッカーおよび分析ツールを利用して Wi-Fi パスワードをクラックするために使用されます。
• John the Ripperは、脆弱なパスワードをクラックし、パスワードベースのシステムに侵入するために使用されます。 Unix、Windows、DOS など、15 の複数のプラットフォームをサポートしています。
• Rainbow Crackは、ブルート フォース攻撃を実行するためのレインボー テーブルを生成し、攻撃の期間を短縮するのに役立ちます。
• L0phtCrackは、辞書攻撃、ハイブリッド攻撃、およびレインボー テーブルで Windows パスワードをクラックするために使用されます。

* これらのツールは、ブルート フォース攻撃に対してシステムをテストおよび強化するための倫理的な目的でのみ使用する必要があります。

ブルートフォース攻撃を検出する方法

攻撃者は、さまざまなバリエーションのブルート フォース攻撃を実行できます。 このような攻撃から身を守るために、予防策を設定して実施する必要があります。

以下は、ブルート フォース攻撃を示唆する兆候の一部です。

• 1 つの IP アドレスからの複数回のログイン試行の失敗
• 複数の IP アドレスから 1 つのユーザー アカウントにログイン リクエストが送信される
• 同じ IP アドレスからの複数のユーザー名でのログイン
• 誰かのメールまたは IRC クライアントの URL を参照してログインする
• 1回の使用による疑わしい使用量と帯域幅の消費
• アルファベット順または連続したユーザー名またはパスワードによるログイン試行の失敗
• パスワード共有 Web サイトへの URL の参照

早期の検出と適切な予防措置により、組織はブルート フォース攻撃への露出を制限できます。

ブルートフォース攻撃を防ぐ方法

ブルート フォース攻撃は試行錯誤に基づいて機能し、標的となる技術的な脆弱性はありません。 このため、防御メカニズムを強化するだけでなく、ブルート フォース攻撃から資産を保護するためのセキュリティのベスト プラクティスに従う必要があります。

強力で一意のパスワードを強制する

予測不可能で一意の強力なパスワードを作成すると、ブルート フォース攻撃に対する強力な防御が確立されます。 たとえば、長くて複雑なパスワードは、パスワードに含まれる親の名前や生年月日と比較して、推測するのが難しくなります。

複数のユーザー アカウントに異なるパスワードを使用していることを確認してください。 すべてのアカウントに同様のユーザー資格情報を使用すると、攻撃者はすべてのアカウントから機密情報を簡単に悪用して抽出できます。

ユーザー アカウントをロックする

ユーザー アカウントでの一連のログイン試行の失敗は、ブルート フォース攻撃の可能性を示している可能性があります。 このようなユーザー アカウントを特定の期間ロックしたり、管理者の許可を得てロックを解除したりできます。

アカウントのロックアウトは、管理された方法で実行する必要があります。 ブルートフォース攻撃が大規模に行われると、サービス拒否に簡単につながる可能性があります。 このような状況では、漸進的な遅延によるアカウント ロックアウトが適切な解決策です。つまり、一連のログイン試行の失敗ごとに、アカウント ロックアウトの期間が徐々に長くなります。

アカウントのロックアウトは、サービス拒否よりもリスクが高い場所に適しています。 企業が使用できる  侵入検知および防止システム  カスタム ルールを設定して IP アドレスを制限し、管理された方法でアカウント ロックアウトを実行します。

二要素認証（2FA）を採用

二要素認証  ブルート フォース攻撃に対する防御の最前線として広く使用されています。 ユーザーは ID を 2 回証明する必要があるため、攻撃者がパスワードの照合に成功した場合でも、セキュリティ侵害のリスクが軽減されます。

ほとんどのハッカー (少数のしつこいハッカーを除く) は脇に寄り、より簡単なターゲットを探します。 ただし、ハッカーがそれらにアクセスして 2FA を通過するのを防ぐために、他のアカウント (電子メール、セキュリティ ソフトウェアなど) に対して異なるユーザー資格情報を持っていることを確認する必要があります。

サーバーログを監視する

すべてのサーバー ログは、ブルート フォース攻撃のさまざまなパターンを認識するために不可欠なデータ ソースであるため、慎重に分析してください。 これらのログに基づいて、将来の防御戦略を計画し、アカウントまたはネットワークのセキュリティを確保するための洞察を得ることができます。

セキュリティ情報およびイベント管理 (SIEM) システム  すべてのログを一元的に保存、監視、分析するための優れたソリューションとして機能します。 アカウントが侵害された場合、SIEM システムはデジタル フォレンジックを収集してインシデント対応計画を開始するのに役立ちます。

CAPTCHA を使用する

CAPTCHA は、ユーザーがコンピューターにとって難しい単純なチャレンジに合格するかどうかをテストすることによって機能します。 たとえば、ユーザーに画像内の黄色のペンの数を数えるように求めるのは簡単です。 それでも、機械が画像を解釈するのはパズルのようなものです。

CAPTCHA を使用すると、ユーザーがユーザー アカウントにアクセスするために必要な手順が増えますが、アカウントのセキュリティを確保する上で非常に有益です。 ユーザー エクスペリエンスを揺るがす可能性がありますが、自動化されたブルート フォース攻撃やボットから機密情報を保護することで、ユーザーの信頼を高めます。

予防を倍増

最善の防御技術を採用し、必要なセキュリティ技術スタックを構築して、ブルート フォース攻撃からシステムを保護し、サイバーセキュリティを維持します。

攻撃者が予防措置を講じた後でも認証システムに侵入できた場合は、インシデント対応計画を開始して、攻撃が引き起こす可能性のある損害を制御および制限します。