ブルートフォース攻撃とは？　類似した攻撃手法や被害事例、対策を解説

辞書攻撃

辞書攻撃とは、企業や個人が使う頻度が高い単語やフレーズを「辞書リスト」に登録し、文字列を組み合わせてログインを試行する攻撃手法です。例えば、「apple」「password」「1234」など、一般的な単語やパスワードによく使われる文字列の組み合わせを順番に入力することで、認証の突破を試みます。

パスワードリスト攻撃

パスワードリスト攻撃とは、不正に入手したパスワードリストを順番に入力して、ログインを試みる手法です。特定のサービスがサイバー攻撃を受け、パスワードが流出した場合に、ほかのサービスでも流出したパスワードが使い回されていると、侵入を許すことになります。

リバースブルートフォース攻撃

リバースブルートフォース攻撃とは、IDを固定してパスワードを変えるブルートフォース攻撃に対して、パスワードを固定してIDを総当たりする攻撃手法です。ブルートフォース攻撃と同じように、自動化ツールを使えば何通りものログインを自動で試行でき、突破までの時間も短くなります。

パスワードを数回間違えるとロックされる機能が付いた認証システムでも、IDを変えるリバースブルートフォース攻撃を防ぐことはできないため、ブルートフォース攻撃よりも危険な手法になりかねません。

情報漏洩

ブルートフォース攻撃を受けた場合に発生する被害の1つとして挙げられるのは、情報漏洩です。不正ログインされたシステムやサービスに個人情報や機密情報を保存していれば、盗み出されて悪用される可能性が高まります。企業が保有していた個人情報や機密情報が漏れると、顧客や社外関係者からの信用を失うリスクもあります。

併せて読みたい

• 企業が行うべき情報漏洩対策とは？　流出の原因と効果的な対策を解説

システムの乗っ取り

ブルートフォース攻撃により、システムが乗っ取られる被害が発生する可能性もあります。乗っ取ったパソコンを経由して、全社のパソコンにデータを暗号化するランサムウェアが送り込まれ、データの復旧と引き換えに身代金を要求される攻撃に発展するリスクも考えられます。

また、管理システムが乗っ取られた場合は、Webサイトを改ざんされ、詐欺行為に利用される可能性もあるため注意しなければなりません。SNSが乗っ取られた場合も、担当者と偽った投稿によって詐欺被害などが発生する可能性があります。

併せて読みたい

• ランサムウェアで被害が発生した事例は？　必要な対策を解説

クレジットカードの不正利用や預金の不正送金

ブルートフォース攻撃によって不正にログインされた場合、クレジットカードの不正利用や預金の不正送金の被害に遭うことも考えられます。

例えば、攻撃を受けたシステムやサービスのアカウントにクレジットカード情報が保存されていた場合、情報を悪用されて不正利用の被害に遭う可能性があります。また、オンラインバンキングの不正ログインを許した場合、不正操作によって攻撃者への送金が行われ、金銭的な被害が発生しかねません。

ほかの不正アクセスの誘発

ブルートフォース攻撃によって不正アクセスされたID・パスワードをほかのシステムやサービスでも使っていると、そのシステム・サービスに被害が拡大するリスクがあります。パスワードの使い回しによって、複数のシステム・サービスで不正ログインを許したケースは少なくありません。被害の拡大を防ぐには、パスワードの使い回しを避けることが重要です。

併せて読みたい

• 不正アクセスの対策とは？　手口や発生する被害、発生時の対処法を解説

立大学機構で発生した情報漏洩

国立大学機構の情報システムのアカウントを管理するサーバーがランサムウェアに感染した事例では、攻撃の端緒にブルートフォース攻撃が行われました。

職員から、情報システムのアカウントのパスワードが変更できない旨の問い合わせがあり、サーバーのログを確認したところ、不正アクセスが判明しました。サーバーのログには、総当たりでパスワードのログインが試行された形跡があり、ランサムウェアに感染させるためにブルートフォース攻撃が行われたことが判明しています。この不正アクセスにより、個人情報が約4万件漏洩した可能性があります。

大手コンビニエンスストアの決済サービスで発生した不正利用

企業がブルートフォース攻撃を受けた事例ではありませんが、大手コンビニエンスストアチェーンが提供する決済サービスで、適切な対策がなされていなかったために顧客にブルートフォース攻撃の被害が発生したと考えられる事例もあります。

決済サービスの利用者本人になりすましてアカウントにアクセスした第三者が、登録されていたクレジットカードやデビットカードを使ってアカウントにチャージし、店舗で商品を不正購入する被害が発生しました。不正利用の背景として、そのサービスではIDとパスワードのみで会員登録・ログインが可能だったことが挙げられます。ID・パスワード以外の方法でも認証を行う2段階認証が行われていなかったため、ブルートフォース攻撃による不正アクセスが容易に行える状況でした。

この事例では、不正利用の被害は約900名、被害総額は約5,500万円に上っています。

パスワードの桁数を増やし複雑にする

ブルートフォース攻撃はパスワードを総当たりする手法であるため、できるだけ長く、複雑なパスワードを設定することで被害を防ぐことが可能です。

例えば、数字4桁のみのパスワードの組み合わせは1万通りですが、6桁になれば100万通りになるため、試行回数が増え、認証の突破にかかる時間を増やせます。数字だけでなくアルファベットの大文字・小文字、記号などを組み合わせれば、必要な試行回数は膨大になり、すべてのパターンを試すことが現実的には難しくなるため、ブルートフォース攻撃の防止につながります。

多要素認証を導入する

多要素認証を導入していれば、ブルートフォース攻撃によってID・パスワードが破られても、不正にログインされることはありません。

多要素認証とは、ID・パスワードのような知識情報以外に指紋・顔認証などの生体情報、携帯電話の所持情報などを組み合わせて本人を認証する方法です。例えば、ID・パスワードでの認証に加えて、携帯電話のSMSにワンタイムパスワードを送るように設定することで、携帯電話を所持している人だけが認証できるようになります。ID・パスワードによるログインがSMSなどで通知されると不正ログインの検知にもつながるため、パスワードの変更にも迅速に対応することが可能です。

アクセスできるIPアドレスを制限する

ブルートフォース攻撃の対策として、情報にアクセスできるIPアドレスを制限する方法も有効です。IPアドレスは、ネットワークに接続している機器に割り振られる番号で、いわゆるインターネット上の住所です。

社内ネットワークを構築する際には、社内のIPアドレスのみアクセスできるようにすることで、仮にID・パスワードによる認証がブルートフォース攻撃で突破できる状況でも、不正アクセスを未然に防ぐことができます。