🔒Security / BCP

《セキュリティ用語解説》ブルートフォース攻撃(総当たり攻撃)とは?大まかな説明付き。「生活とセキュリティ / LIFE+Security」

Kawamura
ブルートフォース攻撃(総当たり攻撃)
SHARE:

「生活とセキュリティ / LIFE+Security」シリーズでは、主に私たちの生活に密接に関わるセキュリティに関連した用語を解説致します。

今回のキーワードは「ブルートフォース攻撃(総当たり攻撃)」です。

大まかに説明すると

「ブルートフォース攻撃(総当たり攻撃)」とは、パスワードを破るために、考えられるすべての文字列のパターンを「力ずく(ブルートフォース)」で試す攻撃です。

「a」「b」「c」…「aa」「ab」…と、機械的に高速で試行します。

短くて単純なパスワード(例:「1234」や「apple」)は、この攻撃によって短時間で破られてしまいます。

対策は、攻撃者が試行しきれないほどパターンが多くなるよう、「長くて複雑なパスワード」(大文字・小文字・数字・記号を混ぜる)を設定することです。

ブルートフォース攻撃とは? ~力ずくで「鍵」をこじ開ける~

はじめに

「パスワードリスト攻撃」は"使い回し"を狙う攻撃でした。

では、もしパスワードを使い回していなくても、そのパスワード自体が「簡単」だったらどうなるでしょうか?

今日は、そんな「簡単なパスワード」を力ずくで破ってしまう、「ブルートフォース攻撃(総当たり攻撃)」について解説します。

「ブルートフォース攻撃」ってどんな攻撃?

「ブルートフォース(Brute Force)」とは、日本語で「力ずく」「腕力」といった意味です。

その名の通り、この攻撃は「パスワードとして考えられるすべてのパターンを、片っ端から順番に試していく」という、非常に原始的で「力ずく」な方法です。

例えば、パスワードが「4桁の数字」だとします。

攻撃者はコンピューターを使って、

「0000」「0001」「0002」…「1234」…「9998」「9999」

と、1万通りのパターンをすべて試します。

人間の手では時間がかかりますが、コンピューターなら一瞬で終わってしまいます。

これが「総当たり攻撃」とも呼ばれる理由です。

「短い・単純」なパスワードは危険!

「でも、アルファベットも使っていたら大丈夫じゃない?」と思うかもしれません。

確かに、使える文字が増えれば、パターン(組み合わせ)の数は爆発的に増えます。

4桁の数字:1万通り

6桁の小文字アルファベット(26文字):約3億通り

8桁の小文字アルファベット(26文字):約2000億通り

「2000億通り」と聞くと、とても多そうに見えますよね?

しかし、現代のコンピューターの計算速度はすさまじく、この程度のパターン数なら、数時間から数日で解読されてしまう可能性があります。

もし、皆さんのパスワードが「password」や「12345678」、あるいは「tanaka」や「soccer」のような辞書に載っている英単語だったら、攻撃者はまずそういった「よく使われるパスワードのリスト(辞書)」から試す(これは「辞書攻撃」と呼ばれます)ため、ブルートフォース攻撃を全部試すまでもなく、もっと短時間で破られてしまいます。

どうすれば「ブルートフォース攻撃」を防げる?

この力ずくな攻撃を防ぐ方法は、攻撃者が「力尽きる」ようにすることです。

つまり、「コンピューターを使っても、試し終わるまでに何百年、何千年もかかるような、膨大なパターンのパスワード」にすれば良いのです。

そのための方法は2つあります。

パスワードを「長く」する

これが最も効果的です。パスワードは1桁増えるだけで、組み合わせの数が何十倍にも膨れ上がります。

(例:小文字26文字の場合、8桁は約2000億通りですが、9桁ならその26倍の約5兆通り、10桁なら約141兆通り…)

最低でも10文字、できれば12文字以上が推奨されます。

パスワードを「複雑」にする

使う文字の種類を増やすことも有効です。

  • 小文字アルファベット(26種類)
  • 大文字アルファベット(26種類)
  • 数字(10種類)
  • 記号(!@#%^&など 約30種類)

これらすべて(合計 約90種類)を使うと、組み合わせの数はさらに膨大になります。

例えば「8桁」でも、小文字だけなら「2000億通り」でしたが、「大文字・小文字・数字・記号」のすべてを使うと、「約6600兆通り」となり、解読が格段に難しくなります。

サイト側の対策もある

もちろん、サービスを提供しているサイト側も対策をしています。

例えば、「5回パスワードを間違えたら、10分間ログインできなくなる(アカウントロック)」といった機能です。

こうなると、攻撃者は高速でパターンを試すことができなくなるため、ブルートフォース攻撃は非常に困難になります。

しかし、すべてのサイトがこの対策をしているとは限りませんし、攻撃者はその「ロックがかからない」甘いサイトを狙ってきます。

だからこそ、私たち利用者一人ひとりが「長くて複雑なパスワード」を設定することが、自分を守る第一歩になるのです。

まとめ

「ブルートフォース攻撃」は、単純なパスワードを力ずくで破る攻撃です。

「短いパスワード」「簡単な英単語」「誕生日」などは、この攻撃の格好の餌食です。

「長く」「複雑に」(大文字・小文字・数字・記号を混ぜる)を合言葉に、破られにくいパスワードを設定しましょう。

本キーワードの関連情報

今回のキーワードは、以下カテゴリで分類しています。

カテゴリ:私たちの生活に密接に関わるセキュリティ

アカウントと認証

目標「オンラインサービスを安全に利用するための基本を理解する。」

ここまで読んで頂いて、誠にありがとうございます。今後ともどうぞよろしくお願い致します。

System Teams
あなたへのおすすめ