無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

特定のIDに対して、あらゆる文字列の組み合わせをパスワードとして総当たりで攻撃する手法である「ブルートフォース攻撃」が知られています。これはパスワード認証が求められるシステムに対する攻撃手法としては歴史が古く、現在ではシステムの防御側で様々な方法で対策が取られています。

しかしこのブルートフォース攻撃を応用した「リバースブルートフォース攻撃」による不正なログインが確認される事例が増えてきています。今回はリバースブルートフォース攻撃に概要やブルートフォース攻撃との違い、そして具体的な対策方法について徹底解説します。

リバースブルートフォース攻撃とは

リバースブルートフォース攻撃とは、特定のパスワードと、IDに使用されている文字列の組み合わせを使って、総当たり的にログインを試みる攻撃のことです。

攻撃者は何らかのプログラムを使用して、システムに対して不正なログインを試みようとします。その際、パスワードの文字列を固定にして、IDの文字列を変化させながらログイン試行します。サイバー攻撃としては古典的な考えですが、攻撃対象によっては十分な対策が取られていないことも多く、実際にリバースブルートフォース攻撃による被害も発生しています。

リバースブルートフォース攻撃の仕組み

リバースブルートフォース攻撃では、パスワードではなくIDの方に総当たり攻撃をしかけます。つまり攻撃対象となるユーザーは誰でもいいわけです。特にシステムで管理されているユーザーに対して、パスワードの組み合わせが少ない場合、リバースブルートフォース攻撃は威力を増します。

例えば、ID数が500万人の会員サービスがあったとします。この会員サービスのパスワードが4桁の数字のみに制限されている場合、考えられるパスワード数は「0000」から「9999」の1万通りです。

1万通りしかないパスワードを500万人の会員が使うわけですから、理論上は500人の会員が同じパスワードを使っていると考えられます。さらに「1234」や「7777」などの覚えやすいパスワードを使用している会員は、さらに多くいると考えてもおかしくありません。

このような多くのユーザーが使っているパスワードに狙いを定めて、IDの方を総当たりで変化させながらログイン試行する攻撃が、リバースブルートフォース攻撃なのです。

リバースブルートフォース攻撃の危険性

通常のブルートフォース攻撃への対策として、一定回数のパスワード入力のエラーが発生したら、一定時間アカウントをロックするという仕組みが普及しています。例えば「1分以内に3回連続、誤ったパスワードが入力されたらログインできなくなる」などの仕組みです。これにより全ての組み合わせのパスワードを使ったログイン試行を防げます。

一方、リバースブルートフォース攻撃の場合、IDの文字列を次々と変えていきます。この場合、通常のブルートフォース攻撃で導入されているアカウントロックの仕組みは効果がありません。1つのアカウントに対するエラーは1度しか発生しないため、システム側から見たら、正規のユーザーが間違ったパスワードで1度ログイン試行しただけ、ということになるからです。

さらに攻撃者が攻撃元として複数のIPアドレスを使用して、さらにログイン試行に一定の時間間隔を置いてある場合、システム側で対策していたとしても、アカウントロックや監視が回避されてしまうこともあり、危険度が増します。

また、IDに関して言うと、IDとして使われていた会員番号リストが外部に流出してしまったり、IDの生成方法が規則的なシステムであったりする場合も、リバースブルートフォース攻撃のターゲットにされやすいです。通常のシステムで「パスワードのリスト」が漏えいすることは、ほとんどあり得ないことを考えると、流出の可能性のあるIDのリストで攻撃が成立する、リバースブルートフォース攻撃の危険性は高いと言えるでしょう。

ブルートフォース攻撃とリバースブルートフォース攻撃の違い

ここまでリバースブルートフォース攻撃について解説してきましたが、通常のブルートフォース攻撃についても改めて説明します。

ブルートフォース攻撃とは、特定のIDに対して、総当たりの文字列のパスワードを使って次々とログインを試みる攻撃のことです。アルファベットや数字、記号などの考えられる文字列の組み合わせをパスワードとして使って不正なログイン試行します。詳しくは当サイトの以下の記事をご覧ください。

ブルートフォースアタック（総当たり攻撃）とは？そのやり方・実際にかかる時間・対策方法は？

2018.4.6

ブルートフォースアタック（総当たり攻撃）とは、「ブルートフォース（brute force）」という言葉の意味（「強引な」とか「力ずく」）を表すような攻撃手法のことで、ユーザのアカウント・パスワードを解読するため、考えられる全てのパターンを試

またリバースブルートフォース攻撃は、IDを変えながら不正なログイン試行を繰り返すことから、特定のターゲットを対象とした攻撃ではありません。誰でもいいから不正ログインできるユーザーを探しだすことが、リバースブルートフォース攻撃の特徴です。

ここで述べたブルートフォース攻撃とリバースブルートフォース攻撃の違いについて表でまとめました。

リバースブルートフォース攻撃の対策

リバースブルートフォース攻撃には、どのように対策を取れば良いのでしょうか。ここでは以下の2つの方法を紹介します。

複雑なパスワードを設定する

リバースブルートフォース攻撃に対しても、複雑なパスワードの設定は有効な対策です。複雑なパスワードとは、具体的には以下のような条件を持つパスワードです。

• 桁数が多い（8桁以上）
• アルファベットの大文字小文字が含まれている
• 記号が含まれている

パスワードを設定する時は、上記条件をすべて満たす文字列を設定することが重要です。できるだけ他人が使ってなさそうな文字列をパスワードに設定することがポイントです。

ありふれたパスワードの例として、以下のWebサイトで2019年に集計した最悪なパスワードのトップ200が公開されています。少なくとも、このランキングに掲載されているパスワードを使用することは控えたほうが良いでしょう。

参照Here Are the Most Popular Passwords of 2019

推測されやすいパスワードを変更する

に推測されやすい文字列のパスワードや、桁数や使用文字数の少ない文字列のパスワードを使用している場合は、すぐに変更した方が良いでしょう。

まとめ

リバースブルートフォース攻撃をシステムで対策することは困難です。対策としてはシステムに登録されているパスワードを複雑にし”推測されにくくする”といったユーザー側の対策が有効です。

リバースブルートフォース攻撃と思われるインシデントはたびたび発生しており、実際に日本国内でも金銭的な被害が発生しています。自分には関係ないと思っていても、いつ自分が被害に遭うのかわかりません。仮に被害に遭ったとしても、システム側から補償が受けられるとは限らず、弱いパスワードを使っている自分の責任にされてしまうことも考えられます。まずは日ごろから適切なパスワード管理を徹底することが、私たちには求められています。