図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ブルートフォース攻撃(総当たり攻撃) 図解サイバーセキュリティ用語

投稿日:2017年3月18日 更新日:

ブルートフォース(brute force)とは「強引な」とか「力ずく」という意味で、ユーザのアカウント・パスワードを入手するため、もしくは暗号を解読するために考えられる全てのパターンを自動的に試す手法の事を言います。総当たり攻撃とも言われます。

スマートフォンに対してのブルートフォース攻撃(総当たり攻撃)

例えば、攻撃者がターゲットのスマートフォンを入手してログインを試みようとします。そのスマートフォンは4桁のパスワードがかかっているとしましょう。攻撃者はパスワードが判らないので、可能性のある全てのパスワードを試します。スマートフォンのパスワードは数字の組み合わせですので、4桁パスワードの場合は0000から9999の1万通り存在ます。下記の図の例では0000から順番に試して4567を試した時にログインに成功します。

ブルートフォース攻撃(総当たり攻撃)の説明

1万通りの組み合わせは大きい数字に思われますが、このくらいであれば手動でも対応できますし、自動で実行できるツールがあれば一瞬で1万通りのパスワードを試すことができます。

パソコンに対してのブルートフォース攻撃(総当たり攻撃)

次にパソコンに対してのブルートフォース攻撃を説明します。攻撃者は以下の情報は事前の調査で知っていると仮定します。

  • アカウント情報(ID)
  • パソコンのパスワードポリシーでパスワードの桁数は8桁以上である
  • パソコンのパスワードポリシーではパソコンの複雑性を満たす必要はない

上記の情報から攻撃者はユーザがアルファベットのみで8桁のパスワードを設定していると想定して効率よくブルートフォースをかけるとします。

ブルートフォース攻撃(総当たり攻撃)の説明

アルファベットのみを利用した8桁の組み合わせは1千億通りありますので、攻撃者はスクリプトやプログラムを利用してパスワードの組み合わせを作成してログオンを試みる必要があります。実際にはパスワードに複雑性が必要なポリシーを適用している事が多く、その場合は数字、アルファベット、記号の組み合わせとなり、考えられる組み合わせの数が天文学的に大きくなります。

パスワードの組み合わせと解読時間

上記はlockdown.co.ukのデータを基に、8桁のパスワードの組み合わせ数と解読時間を示したものです。これからわかることは数字だけのパスワードは一瞬で解読されてしまいます。アルファベットのみの場合もそうです。これに数字とアルファベットの組み合わせとなれば普通のPCで253日ほどの解読時間が必要となり、ワークステーションでも24日以上必要となります。スーパーコンピュータの場合だと60.5時間しか必要としませんが、そもそも攻撃者がスーパーコンピュータを持っていない場合がほとんどです。数字・アルファベット・記号の組み合わせになれば、普通のPCで解読しようとすると23年、ワークステーションの場合は2年3か月、スーパーコンピュータの場合は83.5日必要となります。これはとても効果的です。なぜなら一般的に企業のパソコンではパスワードの有効期限を90日と定めており、90日ごとに新しいパスワードに変更する必要があります。ですので、例え攻撃者がパスワードを解析してもユーザは既にパスワードを変更している事になります。

ブルートフォース攻撃(総当たり攻撃)の欠点

ブルートフォース攻撃では時間をかければどんなパスワードでも解読できそうですが、実際はパソコンにはパスワードを5回失敗するとアカウントがロックされるようなアカウントロックポリシーを設定している場合が多いです。アカウントがロックされると、ログオン試行ができません。ですのでブルートフォース攻撃はそのような設定を行っているパソコンに対しては効果がありません。

ブルートフォース攻撃(総当たり攻撃)の説明

ではパスワードロックポリシーを設定している場合はどのように、パスワード試行を行うのでしょうか?例えば、攻撃者はプログラムを使って、パスワード試行を4回のみ行い、30分時間を置いてまたパスワードを4回試行し、また30分待って・・・という攻撃が可能です。

ブルートフォース攻撃(総当たり攻撃)の説明

しかし、この方法は効果的ではありません。なぜならパスワードの組み合わせは1千億通りあるのに対して、30分に1度、4つのパスワードしか試す事ができないからです。逆に言うと、パスワードロックポリシーはブルートフォース攻撃に対してかなり効果的であるということです。

しかしながら、攻撃者はパスワードロックポリシーを考慮した攻撃手法で対抗してきます。それはログオンを試行するのではなく、Active Directoryやローカルパソコンからパスワードのハッシュを盗み出して、それを解析する方法です。パスワードは実は暗号化して保存されているわけではありません。パスワードはハッシュ値として保存されています。ハッシュ値とは元のデータから特別な計算によって算出されたランダムな数字で、そのハッシュ値から元のデータを計算する事は理論上できません。このパスワードのハッシュ値を盗みだし、それに対してブルートフォース(総当たり)をかける事でパスワードを解析します。

パスワードハッシュ値の解析

別の方法としてはパスワードリスト攻撃があります。。パスワードリスト攻撃については別のページで説明します。

広告

広告

-図解サイバーセキュリティ用語

関連記事

ディープウェブ、ダークウェブって何? 図解サイバーセキュリティ用語

インターネット上では様々な情報を収集することができますが、良い情報ばかりではありません。インターネットは犯罪者が違法な情報(他人のクレジットカードや個人情報など)や物(麻薬や武器など)を売買するための …

ワンタイムパスワードとは 図解サイバーセキュリティ用語

ワンタイムパスワードは二要素認証の「ユーザが持っているもの(Something you have)」に該当し、解読不可能な規則によって表示される数字(トークン)をログイン認証の要件とする事で、ログイン …

職務分掌・職務分離とは?

職務分掌とは部署や役職ごとに必要な責任や権限を明確にして定義する事を言います。職務分掌と似たような言葉に職務分離があります。ほぼ同じ意味ですが、職務分掌は人事要素が強い一方で職務分離にはコンプライアン …

UDP Flood攻撃 図解サイバーセキュリティ用語

UDP Flood攻撃もDoS攻撃の一種で、Flood攻撃に属するものです。UDP Flood攻撃では攻撃者は以下の特徴のUDPパケットを作成して、ターゲットに送付します。 送信元IPを詐称 ランダム …

UTM(Unified Threat Managemen)とは 図解サイバーセキュリティ用語

UTMとは複数のセキュリティ対策を1つのアプライアンスに集約することで、総合的にかつ統合的にセキュリティ対策を行うコンセプトの事を言います。もしくはそのようなアプライアンスの事を指します。 UTMに集 …