図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ブルートフォース攻撃(総当たり攻撃) 図解サイバーセキュリティ用語

投稿日:2017年3月18日 更新日:

ブルートフォース(brute force)とは「強引な」とか「力ずく」という意味で、ユーザのアカウント・パスワードを入手するため、もしくは暗号を解読するために考えられる全てのパターンを自動的に試す手法の事を言います。総当たり攻撃とも言われます。

スマートフォンに対してのブルートフォース攻撃(総当たり攻撃)

例えば、攻撃者がターゲットのスマートフォンを入手してログインを試みようとします。そのスマートフォンは4桁のパスワードがかかっているとしましょう。攻撃者はパスワードが判らないので、可能性のある全てのパスワードを試します。スマートフォンのパスワードは数字の組み合わせですので、4桁パスワードの場合は0000から9999の1万通り存在ます。下記の図の例では0000から順番に試して4567を試した時にログインに成功します。

ブルートフォース攻撃(総当たり攻撃)の説明

1万通りの組み合わせは大きい数字に思われますが、このくらいであれば手動でも対応できますし、自動で実行できるツールがあれば一瞬で1万通りのパスワードを試すことができます。

パソコンに対してのブルートフォース攻撃(総当たり攻撃)

次にパソコンに対してのブルートフォース攻撃を説明します。攻撃者は以下の情報は事前の調査で知っていると仮定します。

  • アカウント情報(ID)
  • パソコンのパスワードポリシーでパスワードの桁数は8桁以上である
  • パソコンのパスワードポリシーではパソコンの複雑性を満たす必要はない

上記の情報から攻撃者はユーザがアルファベットのみで8桁のパスワードを設定していると想定して効率よくブルートフォースをかけるとします。

ブルートフォース攻撃(総当たり攻撃)の説明

アルファベットのみを利用した8桁の組み合わせは1千億通りありますので、攻撃者はスクリプトやプログラムを利用してパスワードの組み合わせを作成してログオンを試みる必要があります。実際にはパスワードに複雑性が必要なポリシーを適用している事が多く、その場合は数字、アルファベット、記号の組み合わせとなり、考えられる組み合わせの数が天文学的に大きくなります。

パスワードの組み合わせと解読時間

上記はlockdown.co.ukのデータを基に、8桁のパスワードの組み合わせ数と解読時間を示したものです。これからわかることは数字だけのパスワードは一瞬で解読されてしまいます。アルファベットのみの場合もそうです。これに数字とアルファベットの組み合わせとなれば普通のPCで253日ほどの解読時間が必要となり、ワークステーションでも24日以上必要となります。スーパーコンピュータの場合だと60.5時間しか必要としませんが、そもそも攻撃者がスーパーコンピュータを持っていない場合がほとんどです。数字・アルファベット・記号の組み合わせになれば、普通のPCで解読しようとすると23年、ワークステーションの場合は2年3か月、スーパーコンピュータの場合は83.5日必要となります。これはとても効果的です。なぜなら一般的に企業のパソコンではパスワードの有効期限を90日と定めており、90日ごとに新しいパスワードに変更する必要があります。ですので、例え攻撃者がパスワードを解析してもユーザは既にパスワードを変更している事になります。

ブルートフォース攻撃(総当たり攻撃)の欠点

ブルートフォース攻撃では時間をかければどんなパスワードでも解読できそうですが、実際はパソコンにはパスワードを5回失敗するとアカウントがロックされるようなアカウントロックポリシーを設定している場合が多いです。アカウントがロックされると、ログオン試行ができません。ですのでブルートフォース攻撃はそのような設定を行っているパソコンに対しては効果がありません。

ブルートフォース攻撃(総当たり攻撃)の説明

ではパスワードロックポリシーを設定している場合はどのように、パスワード試行を行うのでしょうか?例えば、攻撃者はプログラムを使って、パスワード試行を4回のみ行い、30分時間を置いてまたパスワードを4回試行し、また30分待って・・・という攻撃が可能です。

ブルートフォース攻撃(総当たり攻撃)の説明

しかし、この方法は効果的ではありません。なぜならパスワードの組み合わせは1千億通りあるのに対して、30分に1度、4つのパスワードしか試す事ができないからです。逆に言うと、パスワードロックポリシーはブルートフォース攻撃に対してかなり効果的であるということです。

しかしながら、攻撃者はパスワードロックポリシーを考慮した攻撃手法で対抗してきます。それはログオンを試行するのではなく、Active Directoryやローカルパソコンからパスワードのハッシュを盗み出して、それを解析する方法です。パスワードは実は暗号化して保存されているわけではありません。パスワードはハッシュ値として保存されています。ハッシュ値とは元のデータから特別な計算によって算出されたランダムな数字で、そのハッシュ値から元のデータを計算する事は理論上できません。このパスワードのハッシュ値を盗みだし、それに対してブルートフォース(総当たり)をかける事でパスワードを解析します。

パスワードハッシュ値の解析

別の方法としてはパスワードリスト攻撃があります。。パスワードリスト攻撃については別のページで説明します。

広告

広告

-図解サイバーセキュリティ用語

関連記事

キーロガーとは 図解サイバーセキュリティ用語

キーロガー(keylogger)とはパソコン等のキーボードの入力を監視してそれを記録するソフトウェアの事を言います。キーロガーによって記録された情報からユーザが何をタイプしたのかがわかります。つまり、 …

ハッシュ関数、MD5とSHAとは?

ハッシュ関数とは、あるデータをインプットとしてそのデータを要約する16進数の数列を生成する関数の事を言います。ハッシュ関数はデータ固有の値(ハッシュ値)を生成しますので、データが違うとそのハッシュ値も …

ヒューリスティック検知 図解サイバーセキュリティ用語

ヒューリスティック検知は、プログラムの実行ファイルの挙動を分析して通常ありえない動作、例えばOSの動作に関連するレジストリ・ライブラリなどへの書き込みや特権IDのパスワード変更など、を検知して異常とみ …

水飲み場攻撃 図解サイバーセキュリティ用語

水飲み場攻撃は標的型攻撃の1つですが、「標的」を装わないのが特徴です。通常の標的型攻撃はターゲットに対してしつこくフィッシングメールを送付したり、ターゲットのサーバをスキャンして脆弱性を発見して悪用を …

Stuxnet(スタックスネット)とは 制御システムを狙った初のマルウェア 図解サイバーセキュリティ用語

Stuxnet(スタックスネット)とは制御システムを狙った初のマルウェアと言われています。20010年9月ごろにイランのナタンスにある核燃料施設のウラン濃縮用遠心分離機に誤作動を起こさせ、約8400台 …