ブルートフォースアタックとは?辞書攻撃の違いや対策法も紹介
近年、不正アクセスによる情報漏えいがテレビや新聞などのニュースで話題になることが多くなりました。企業だけでなく、官公庁にまで被害が及ぶなど、その勢いは年々増加しています。数ある不正アクセスのなかでもポピュラーな方法が「ブルートフォースアタック」です。本記事ではブルートフォースアタックの基礎知識や対策について紹介します。
ブルートフォースアタックとは
ブルートフォースアタックは、インターネットサービスの提供者や利用者が設定した暗号やパスワードを、あらゆるパターンを試して突破しようとする不正アクセスの手法です。日本語では「総当たり攻撃」とも呼ばれます。
たとえば、「0000」から「9999」までの数字で4桁のパスワードを設定しているケースを想定します。この場合パスワードは1万種類つくれるため、簡単には見破らないと考えがちですが、あらゆる数字を短時間で入力していくプログラムを用いることで不正アクセス者に突破されてしまいます。4桁の数字なら3秒で破られてしまうといわれています。
辞書攻撃との違い
ブルートフォースアタックと似た不正アクセス方法に、辞書攻撃(ディクショナリアタック)が存在します。入力可能な文字・数字をしらみつぶしに試していくブルートフォースアタックに対して、辞書攻撃は、パスワードを設定しているユーザーが「使いそうなパスワード」を推測して攻撃をしかけます。
たとえば、ユーザーが2011年11月11日生まれであれば、「2011」や「1111」「1102」など、ゆかりがありそうな数字を試します。なお、辞書攻撃をブルートフォースアタックの一種とみなす専門家もいます。
ブルートフォースアタック、辞書攻撃のいずれにせよ、不正アクセスを受けて企業のシステム管理の権限を奪わてしまうと、システム破壊、機能停止、情報漏洩、不正送金といった被害を受けてしまいます。
ブルートフォースアタックの対策
ブルートフォースアタックを防ぐためにはどのような対策を講じればよいのでしょうか。ここでは3つの方法を紹介します。
1.複雑なパスワード
「数字のみの4桁」といった単純なパスワードの採用を見送るほうがよいでしょう。
同じ4桁でも、「数字(10種類)と英字の大文字(26種類)と小文字(26種類)」でパスワードをつくれるようにすれば、14,776,336通り(=62×62×62×62)のパスワードを設定できます。
数字のみ4桁は1万通り(=10×10×10×10)なので、「数字と英字の大文字と小文字」にするだけで、突破する難易度は高まります。さらに桁数を増やせばより一層突破されにくくなります。
ある団体によると、「数字、英字の大文字、小文字、記号」で10桁のパスワードにすると、ハッカーがコンピュータを使っても、ブルートフォースアタックで突破するのに1,000万年かかるとのの試算を出しています[※注1]。
※注1:2008年10月 2日、独立行政法人 情報処理推進機構セキュリティセンター「コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について」
2.ログインロック
ログインロックの設定も有効な手段のひとつになります。ログインロックとは、たとえば、5回連続してパスワードを間違えたら1時間はログインできない、というように複数回パスワードを間違えるとロックがかかり、それ以上操作できなくなる仕組みです。
ログインロックが起こった場合、事前に登録していたユーザーのメールアドレスにログインロックした事実を知らせるサービスを組み合わせれば、ユーザーは、不正ログインがあったことを知ることができます。
3.2段階認証
「2要素認証」も有効な手段です。これは、正しいパスワードを入力すると、あらかじめ登録していたメールアドレスに、もう一度パスワードが送信される仕組みです。ユーザーがあらためて、パスワードを入力することで初めて、ログインできるようになります。
情報社会の今、不正アクセス対策は必須
インターネットが発達した現代社会では、PC、スマートフォン、タブレットなどのデバイスなしにビジネスをすることは不可能に近いといえます。ふとしたことから不正アクセスは行われるのです。だからこそ、自分・自社だけは大丈夫だとたかをくくらず、情報セキュリティに力を入れなければなりません。