図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ブルートフォース攻撃(総当たり攻撃) 図解サイバーセキュリティ用語

投稿日:2017年3月18日 更新日:

ブルートフォース(brute force)とは「強引な」とか「力ずく」という意味で、ユーザのアカウント・パスワードを入手するため、もしくは暗号を解読するために考えられる全てのパターンを自動的に試す手法の事を言います。総当たり攻撃とも言われます。

スマートフォンに対してのブルートフォース攻撃(総当たり攻撃)

例えば、攻撃者がターゲットのスマートフォンを入手してログインを試みようとします。そのスマートフォンは4桁のパスワードがかかっているとしましょう。攻撃者はパスワードが判らないので、可能性のある全てのパスワードを試します。スマートフォンのパスワードは数字の組み合わせですので、4桁パスワードの場合は0000から9999の1万通り存在ます。下記の図の例では0000から順番に試して4567を試した時にログインに成功します。

ブルートフォース攻撃(総当たり攻撃)の説明

1万通りの組み合わせは大きい数字に思われますが、このくらいであれば手動でも対応できますし、自動で実行できるツールがあれば一瞬で1万通りのパスワードを試すことができます。

パソコンに対してのブルートフォース攻撃(総当たり攻撃)

次にパソコンに対してのブルートフォース攻撃を説明します。攻撃者は以下の情報は事前の調査で知っていると仮定します。

  • アカウント情報(ID)
  • パソコンのパスワードポリシーでパスワードの桁数は8桁以上である
  • パソコンのパスワードポリシーではパソコンの複雑性を満たす必要はない

上記の情報から攻撃者はユーザがアルファベットのみで8桁のパスワードを設定していると想定して効率よくブルートフォースをかけるとします。

ブルートフォース攻撃(総当たり攻撃)の説明

アルファベットのみを利用した8桁の組み合わせは1千億通りありますので、攻撃者はスクリプトやプログラムを利用してパスワードの組み合わせを作成してログオンを試みる必要があります。実際にはパスワードに複雑性が必要なポリシーを適用している事が多く、その場合は数字、アルファベット、記号の組み合わせとなり、考えられる組み合わせの数が天文学的に大きくなります。

パスワードの組み合わせと解読時間

上記はlockdown.co.ukのデータを基に、8桁のパスワードの組み合わせ数と解読時間を示したものです。これからわかることは数字だけのパスワードは一瞬で解読されてしまいます。アルファベットのみの場合もそうです。これに数字とアルファベットの組み合わせとなれば普通のPCで253日ほどの解読時間が必要となり、ワークステーションでも24日以上必要となります。スーパーコンピュータの場合だと60.5時間しか必要としませんが、そもそも攻撃者がスーパーコンピュータを持っていない場合がほとんどです。数字・アルファベット・記号の組み合わせになれば、普通のPCで解読しようとすると23年、ワークステーションの場合は2年3か月、スーパーコンピュータの場合は83.5日必要となります。これはとても効果的です。なぜなら一般的に企業のパソコンではパスワードの有効期限を90日と定めており、90日ごとに新しいパスワードに変更する必要があります。ですので、例え攻撃者がパスワードを解析してもユーザは既にパスワードを変更している事になります。

ブルートフォース攻撃(総当たり攻撃)の欠点

ブルートフォース攻撃では時間をかければどんなパスワードでも解読できそうですが、実際はパソコンにはパスワードを5回失敗するとアカウントがロックされるようなアカウントロックポリシーを設定している場合が多いです。アカウントがロックされると、ログオン試行ができません。ですのでブルートフォース攻撃はそのような設定を行っているパソコンに対しては効果がありません。

ブルートフォース攻撃(総当たり攻撃)の説明

ではパスワードロックポリシーを設定している場合はどのように、パスワード試行を行うのでしょうか?例えば、攻撃者はプログラムを使って、パスワード試行を4回のみ行い、30分時間を置いてまたパスワードを4回試行し、また30分待って・・・という攻撃が可能です。

ブルートフォース攻撃(総当たり攻撃)の説明

しかし、この方法は効果的ではありません。なぜならパスワードの組み合わせは1千億通りあるのに対して、30分に1度、4つのパスワードしか試す事ができないからです。逆に言うと、パスワードロックポリシーはブルートフォース攻撃に対してかなり効果的であるということです。

しかしながら、攻撃者はパスワードロックポリシーを考慮した攻撃手法で対抗してきます。それはログオンを試行するのではなく、Active Directoryやローカルパソコンからパスワードのハッシュを盗み出して、それを解析する方法です。パスワードは実は暗号化して保存されているわけではありません。パスワードはハッシュ値として保存されています。ハッシュ値とは元のデータから特別な計算によって算出されたランダムな数字で、そのハッシュ値から元のデータを計算する事は理論上できません。このパスワードのハッシュ値を盗みだし、それに対してブルートフォース(総当たり)をかける事でパスワードを解析します。

パスワードハッシュ値の解析

別の方法としてはパスワードリスト攻撃があります。。パスワードリスト攻撃については別のページで説明します。

広告

広告

-図解サイバーセキュリティ用語

関連記事

SSLサーバ証明書とは 図解サイバーセキュリティ用語

SSLサーバ証明書は、クライアントとサーバ間で行う暗号化通信に必要な鍵やWebサイトの所有者情報などを含む電子証明書です。SSLサーバ証明書を利用することによって、以下の2つの目的を達成します。 We …

柳条湖事件 9月18日に中国からサイバー攻撃を受ける理由

毎年9月18日の1週間前になると、様々な機関から「9月18日前後に中国からサイバー攻撃がある可能性がありますので注意してください」という通達がありますよね。実際に9月18日に中国からのサイバー攻撃によ …

サイバーインテリジェンス(Cyber Intelligence) 図解サイバーセキュリティ用語

インテリジェンスを日本語で訳すのは難しいですが、諜報活動から得られる情報と訳す事ができます。ただしこれは戦争や政治の世界で使われる意味で、サイバーセキュリティでのインテリジェンスの意味は少し違ってきま …

標的型攻撃とATP攻撃 図解サイバーセキュリティ用語

標的型攻撃とは、攻撃者がある特定のターゲットを決めて攻撃することを言います。つまり、攻撃者は明確な目的を持ってターゲットを絞り攻撃するのです。目的には様々あると思いますが、例えばある特定の会社の機密情 …

辞書攻撃(ディクショナリ攻撃) 図解サイバーセキュリティ用語

辞書攻撃(ディクショナリ攻撃)はユーザのパスワードや暗号キーを解読するために行う攻撃の1つです。コンセプトはブルートフォース攻撃と同じですが、辞書攻撃はブルートフォースより効率よく短時間で攻撃を行う事 …