サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

リバースブルートフォース攻撃とは?仕組みや危険性、対策について徹底解説

  • LINEで送る

特定のIDに対して、あらゆる文字列の組み合わせをパスワードとして総当たりで攻撃する手法である「ブルートフォース攻撃」が知られています。これはパスワード認証が求められるシステムに対する攻撃手法としては歴史が古く、現在ではシステムの防御側で様々な方法で対策が取られています。

しかしこのブルートフォース攻撃を応用した「リバースブルートフォース攻撃」による不正なログインが確認される事例が増えてきています。今回はリバースブルートフォース攻撃に概要やブルートフォース攻撃との違い、そして具体的な対策方法について徹底解説します。

リバースブルートフォース攻撃とは

リバースブルートフォース攻撃とは、特定のパスワードと、IDに使用されている文字列の組み合わせを使って、総当たり的にログインを試みる攻撃のことです。

攻撃者は何らかのプログラムを使用して、システムに対して不正なログインを試みようとします。その際、パスワードの文字列を固定にして、IDの文字列を変化させながらログイン試行します。サイバー攻撃としては古典的な考えですが、攻撃対象によっては十分な対策が取られていないことも多く、実際にリバースブルートフォース攻撃による被害も発生しています。

リバースブルートフォース攻撃の仕組み

リバースブルートフォース攻撃では、パスワードではなくIDの方に総当たり攻撃をしかけます。つまり攻撃対象となるユーザーは誰でもいいわけです。特にシステムで管理されているユーザーに対して、パスワードの組み合わせが少ない場合、リバースブルートフォース攻撃は威力を増します。

例えば、ID数が500万人の会員サービスがあったとします。この会員サービスのパスワードが4桁の数字のみに制限されている場合、考えられるパスワード数は「0000」から「9999」の1万通りです。

1万通りしかないパスワードを500万人の会員が使うわけですから、理論上は500人の会員が同じパスワードを使っていると考えられます。さらに「1234」や「7777」などの覚えやすいパスワードを使用している会員は、さらに多くいると考えてもおかしくありません。

このような多くのユーザーが使っているパスワードに狙いを定めて、IDの方を総当たりで変化させながらログイン試行する攻撃が、リバースブルートフォース攻撃なのです。

リバースブルートフォース攻撃の危険性

通常のブルートフォース攻撃への対策として、一定回数のパスワード入力のエラーが発生したら、一定時間アカウントをロックするという仕組みが普及しています。例えば「1分以内に3回連続、誤ったパスワードが入力されたらログインできなくなる」などの仕組みです。これにより全ての組み合わせのパスワードを使ったログイン試行を防げます。

一方、リバースブルートフォース攻撃の場合、IDの文字列を次々と変えていきます。この場合、通常のブルートフォース攻撃で導入されているアカウントロックの仕組みは効果がありません。1つのアカウントに対するエラーは1度しか発生しないため、システム側から見たら、正規のユーザーが間違ったパスワードで1度ログイン試行しただけ、ということになるからです。

さらに攻撃者が攻撃元として複数のIPアドレスを使用して、さらにログイン試行に一定の時間間隔を置いてある場合、システム側で対策していたとしても、アカウントロックや監視が回避されてしまうこともあり、危険度が増します。

また、IDに関して言うと、IDとして使われていた会員番号リストが外部に流出してしまったり、IDの生成方法が規則的なシステムであったりする場合も、リバースブルートフォース攻撃のターゲットにされやすいです。通常のシステムで「パスワードのリスト」が漏えいすることは、ほとんどあり得ないことを考えると、流出の可能性のあるIDのリストで攻撃が成立する、リバースブルートフォース攻撃の危険性は高いと言えるでしょう。

ブルートフォース攻撃とリバースブルートフォース攻撃の違い

ここまでリバースブルートフォース攻撃について解説してきましたが、通常のブルートフォース攻撃についても改めて説明します。

ブルートフォース攻撃とは、特定のIDに対して、総当たりの文字列のパスワードを使って次々とログインを試みる攻撃のことです。アルファベットや数字、記号などの考えられる文字列の組み合わせをパスワードとして使って不正なログイン試行します。詳しくは当サイトの以下の記事をご覧ください。

またリバースブルートフォース攻撃は、IDを変えながら不正なログイン試行を繰り返すことから、特定のターゲットを対象とした攻撃ではありません。誰でもいいから不正ログインできるユーザーを探しだすことが、リバースブルートフォース攻撃の特徴です。

ここで述べたブルートフォース攻撃とリバースブルートフォース攻撃の違いについて表でまとめました。

ブルートフォース攻撃 リバースブルートフォース攻撃
別名 総当たり攻撃 逆総当たり攻撃
総当たりする文字列 パスワード ID
攻撃対象 特定のID ログインできれば誰でもいい
対策の難易度 容易 困難

リバースブルートフォース攻撃の対策

リバースブルートフォース攻撃には、どのように対策を取れば良いのでしょうか。ここでは以下の2つの方法を紹介します。

複雑なパスワードを設定する

リバースブルートフォース攻撃に対しても、複雑なパスワードの設定は有効な対策です。複雑なパスワードとは、具体的には以下のような条件を持つパスワードです。

  • 桁数が多い(8桁以上)
  • アルファベットの大文字小文字が含まれている
  • 記号が含まれている

パスワードを設定する時は、上記条件をすべて満たす文字列を設定することが重要です。できるだけ他人が使ってなさそうな文字列をパスワードに設定することがポイントです。

ありふれたパスワードの例として、以下のWebサイトで2019年に集計した最悪なパスワードのトップ200が公開されています。少なくとも、このランキングに掲載されているパスワードを使用することは控えたほうが良いでしょう。

参照Here Are the Most Popular Passwords of 2019

推測されやすいパスワードを変更する

に推測されやすい文字列のパスワードや、桁数や使用文字数の少ない文字列のパスワードを使用している場合は、すぐに変更した方が良いでしょう。

まとめ

リバースブルートフォース攻撃をシステムで対策することは困難です。対策としてはシステムに登録されているパスワードを複雑にし”推測されにくくする”といったユーザー側の対策が有効です。

リバースブルートフォース攻撃と思われるインシデントはたびたび発生しており、実際に日本国内でも金銭的な被害が発生しています。自分には関係ないと思っていても、いつ自分が被害に遭うのかわかりません。仮に被害に遭ったとしても、システム側から補償が受けられるとは限らず、弱いパスワードを使っている自分の責任にされてしまうことも考えられます。まずは日ごろから適切なパスワード管理を徹底することが、私たちには求められています。

  • LINEで送る

情報漏洩セキュリティ対策ハンドブックプレゼント


メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?


メルマガ登録はこちら

SNSでもご購読できます。