豆知識

ブルートフォースアタックの恐怖と不正ログイン対策

更新日:

先日ブルートフォースアタックを食らって被害に遭いかけました。

…ところでこの「ブルートフォースアタック」をご存知でしょうか。

 

何やらかっこいいこの響き、アニメやゲームの必殺技ではありません。

 

 

アタックが付いているので攻撃ではありますが

どんな攻撃かというと「サイバー攻撃」の1つです。

 

これまたカッコいい( *´艸`)

とも言ってられません。

 

遠いどこかで起こっている話ではなく、誰でも被害に遭う可能性は十分にあるのです。

 

不審なお知らせ

 

 

あるSNSを開いたら、お知らせにこんな表示がありました。

 

他の端末からのログインが失敗しました

 

怖かったのですぐに消してしまったためもう残っていませんが、

これが連続で5つ並んでいました。

しかも1分以内にです。💦

 

そのSNSは常にログインした状態で、それに仕事中だったので自分ではありません。

誰かが不正にログインを試みたと思われます。

 

 

5つ連続で並んでいることから、ある攻撃手段が思い当たりました。

ブルートフォースアタックです。

 

 

総当たり攻撃

 

 

ブルートフォースアタックは日本語で「総当たり攻撃」とも呼ばれており

不正ログインを成功させるための攻撃手段です。

 

力ずくで、強引に」という意味をもつ「brute force」の通りに

知らないパスワードを数の暴力で無理やりこじ開け、アカウントに入り込みます。

 

 

要するに知らないけど1つ1つ地道に違うパスワードを入れていけば

いつか正解にたどり着けるでしょ😏

という感じです。

 

それでもさすがに「0000」とか「abcd」といった単純なパスワードを

設定してる人もなかなかいないし心配ないっしょー🎵

 

とか楽観的に考えていたら大変なことになるかもしれないのです。

 

 

ブルートフォースアタックの攻撃手段と解読時間

 

 

ブルートフォースアタックは1つ1つ手入力してもし違ったら次…

のような甘いものでなく、コンピュータを使って「0000」「0001」「0002」…

と超高速で順番に入力していきます。

 

6種あるアルファベットを組み合わせると4桁でも45万6976パターンあるので

安心と思いきや全てのパターンを網羅するのにかかる時間(最大解読時間)はなんと

約3秒です。

 

これが6桁になると3億891万5776パターンに跳ね上がり、最大解読時間が約37分になります。

 

同じ6桁でもアルファベットに数字を組み合わせると3億891万5776パターンとなり、最大解読時間も約5日となります。

途方もない数ですね💦

 

 

以下Wikipedia先生からの引用で、入力文字によるパターンと最大解読時間の一覧です。

総当たり攻撃の全パターン試行回数

使用する文字の種類使用できる
文字数
4桁6桁8桁10桁
アラビア数字のみ(0~9)101万100万1億100億
英字(大文字、小文字区別しない)2645万69763億891万57762088億2706万4576141兆1670億9565万3376
英字(大小区別せず)+数字36167万961621億7678万23362兆8211億0990万74563656兆1584億4006万2976
英字(大文字、小文字区別)+数字621477万6336568億0023万5584218兆3401億0558万489683京9299兆3658億6834万0224
英字(大小区別)+数字+記号31文字937480万52016469億9018万34495595兆8180億9665万04014838京8230兆7179億2931万8249
英字(大小区別)+数字+記号34文字968493万46567827億5778万96967213兆8957億8983万83366648京3263兆5991億5010万4576
使用できる文字数と入力桁数によるパスワードの最大解読時間(IPA,2008)
使用する文字の種類使用できる
文字数
4桁6桁8桁10桁
英字(大文字、小文字区別しない)26約3秒約37分約17日約32年
英字(大文字、小文字区別)+数字62約2分約5日約50年約20万年
英字(大文字、小文字区別有)+数字+記号93約9分約54日約1千年約1千万年

 

パスワードが長く複雑になればなるほどパターンが増え、

最大解読時間も長くなることがわかります。

 

 

ブルートフォースアタックの対策

 

 

それではブルートフォースアタックによる不正ログインを防ぐにはどうすればいいでしょうか。

 

まず思いつくのがパスワードを長く、複雑に設定することです。

 

 

上でも説明したように、パターンが増えることで最大解読時間も長くなるので

解読を遅らせることが出来ます。

もちろんこの方法も有効で、過去の記事でも扱っています。

 

 

しかし、それでも突破されてしまう可能性はあります。

 

アルファベット+数字の組み合わせで6桁のパスワードを設定した場合、

最大解読時間は約5日間になります。

この5日間の間にブルートフォースアタックが仕掛けられていることに

気付くことが出来れば対策できますが、

気付くことが出来なければ突破されてしまいます。

 

それに攻撃側のコンピュータやツールも日々進化しており、

性能が上がっているため最大解読時間もどんどん短くなっています。

 

単純にパターンを増やすだけでは通用しなくなるのもそう遠くはないかもしれません。

 

アカウントロック

 

もうひとつ有効な対策としてはアカウントロックがあります。

 

一定回数以上ログインを試行して失敗したら

そこから一定時間ログインが出来なくなるというものです。

 

最近では認証システムでこのアカウントロックを取り入れられていることが多く

銀行やクレジットカードのログインでよくありますね。

 

 

単純にパスワードを忘れて思い当たるものをいくつか入力していたら

ロックがかかってしまったことが何度かあります💦(笑)

 

実はこの記事を書くきっかけになったSNSの不正アクセス事件も

このアカウントロックに助けられたのではないかと思っています。

 

5回連続でお知らせがきてたことから5回ログインを試みた時点で

アカウントロックがかかったと思われます。

 

おかげでメールに気付くことが出来てパスワードをより複雑に変更し対策が出来ましたが、

もしメールがこなかったらいつまでも気付かずにいつか不正ログインを許し

アカウントが乗っ取られていたかもしれません。

恐ろしい話です。💦

 

 

最後に

 

 

今回は「ブルートフォースアタック」の概要と攻撃手段、対策について

まとめました。

 

パスワードを設定するときはついわかりやすく忘れないように設定してしまいがちですが、

不正ログインの被害に遭わないようにするためにも日ごろから対策しておくことが大切です。

 

 

少し上でも触れましたが、攻撃側も日々進化しているので

確実に防げる策は残念ながらありません。

 

しかし攻撃手段や、その攻撃に対する防衛策を知って実践するだけでも

かなり被害に遭う確率は減るのではないでしょうか。

 

ありがとうございました。

 







  • この記事を書いた人
  • 最新記事

-豆知識

Copyright© ポンサラの逆襲 , 2020 All Rights Reserved.