先日ブルートフォースアタックを食らって被害に遭いかけました。
…ところでこの「ブルートフォースアタック」をご存知でしょうか。
何やらかっこいいこの響き、アニメやゲームの必殺技ではありません。
アタックが付いているので攻撃ではありますが
どんな攻撃かというと「サイバー攻撃」の1つです。
これまたカッコいい( *´艸`)
とも言ってられません。
遠いどこかで起こっている話ではなく、誰でも被害に遭う可能性は十分にあるのです。
スポンサーリンク
不審なお知らせ
あるSNSを開いたら、お知らせにこんな表示がありました。
「他の端末からのログインが失敗しました」
怖かったのですぐに消してしまったためもう残っていませんが、
これが連続で5つ並んでいました。
しかも1分以内にです。💦
そのSNSは常にログインした状態で、それに仕事中だったので自分ではありません。
誰かが不正にログインを試みたと思われます。
5つ連続で並んでいることから、ある攻撃手段が思い当たりました。
ブルートフォースアタックです。
総当たり攻撃
ブルートフォースアタックは日本語で「総当たり攻撃」とも呼ばれており
不正ログインを成功させるための攻撃手段です。
「力ずくで、強引に」という意味をもつ「brute force」の通りに
知らないパスワードを数の暴力で無理やりこじ開け、アカウントに入り込みます。
要するに知らないけど1つ1つ地道に違うパスワードを入れていけば
いつか正解にたどり着けるでしょ😏
という感じです。
それでもさすがに「0000」とか「abcd」といった単純なパスワードを
設定してる人もなかなかいないし心配ないっしょー🎵
とか楽観的に考えていたら大変なことになるかもしれないのです。
スポンサーリンク
ブルートフォースアタックの攻撃手段と解読時間
ブルートフォースアタックは1つ1つ手入力してもし違ったら次…
のような甘いものでなく、コンピュータを使って「0000」「0001」「0002」…
と超高速で順番に入力していきます。
6種あるアルファベットを組み合わせると4桁でも45万6976パターンあるので
安心と思いきや全てのパターンを網羅するのにかかる時間(最大解読時間)はなんと
約3秒です。
これが6桁になると3億891万5776パターンに跳ね上がり、最大解読時間が約37分になります。
同じ6桁でもアルファベットに数字を組み合わせると3億891万5776パターンとなり、最大解読時間も約5日となります。
途方もない数ですね💦
以下Wikipedia先生からの引用で、入力文字によるパターンと最大解読時間の一覧です。
総当たり攻撃の全パターン試行回数
使用する文字の種類 使用できる
文字数4桁 6桁 8桁 10桁 アラビア数字のみ(0~9) 10 1万 100万 1億 100億 英字(大文字、小文字区別しない) 26 45万6976 3億891万5776 2088億2706万4576 141兆1670億9565万3376 英字(大小区別せず)+数字 36 167万9616 21億7678万2336 2兆8211億0990万7456 3656兆1584億4006万2976 英字(大文字、小文字区別)+数字 62 1477万6336 568億0023万5584 218兆3401億0558万4896 83京9299兆3658億6834万0224 英字(大小区別)+数字+記号31文字 93 7480万5201 6469億9018万3449 5595兆8180億9665万0401 4838京8230兆7179億2931万8249 英字(大小区別)+数字+記号34文字 96 8493万4656 7827億5778万9696 7213兆8957億8983万8336 6648京3263兆5991億5010万4576
使用できる文字数と入力桁数によるパスワードの最大解読時間(IPA,2008) 使用する文字の種類 使用できる
文字数4桁 6桁 8桁 10桁 英字(大文字、小文字区別しない) 26 約3秒 約37分 約17日 約32年 英字(大文字、小文字区別)+数字 62 約2分 約5日 約50年 約20万年 英字(大文字、小文字区別有)+数字+記号 93 約9分 約54日 約1千年 約1千万年
パスワードが長く複雑になればなるほどパターンが増え、
最大解読時間も長くなることがわかります。
ブルートフォースアタックの対策
それではブルートフォースアタックによる不正ログインを防ぐにはどうすればいいでしょうか。
まず思いつくのがパスワードを長く、複雑に設定することです。
上でも説明したように、パターンが増えることで最大解読時間も長くなるので
解読を遅らせることが出来ます。
もちろんこの方法も有効で、過去の記事でも扱っています。
しかし、それでも突破されてしまう可能性はあります。
アルファベット+数字の組み合わせで6桁のパスワードを設定した場合、
最大解読時間は約5日間になります。
この5日間の間にブルートフォースアタックが仕掛けられていることに
気付くことが出来れば対策できますが、
気付くことが出来なければ突破されてしまいます。
それに攻撃側のコンピュータやツールも日々進化しており、
性能が上がっているため最大解読時間もどんどん短くなっています。
単純にパターンを増やすだけでは通用しなくなるのもそう遠くはないかもしれません。
アカウントロック
もうひとつ有効な対策としてはアカウントロックがあります。
一定回数以上ログインを試行して失敗したら
そこから一定時間ログインが出来なくなるというものです。
最近では認証システムでこのアカウントロックを取り入れられていることが多く
銀行やクレジットカードのログインでよくありますね。
単純にパスワードを忘れて思い当たるものをいくつか入力していたら
ロックがかかってしまったことが何度かあります💦(笑)
実はこの記事を書くきっかけになったSNSの不正アクセス事件も
このアカウントロックに助けられたのではないかと思っています。
5回連続でお知らせがきてたことから5回ログインを試みた時点で
アカウントロックがかかったと思われます。
おかげでメールに気付くことが出来てパスワードをより複雑に変更し対策が出来ましたが、
もしメールがこなかったらいつまでも気付かずにいつか不正ログインを許し
アカウントが乗っ取られていたかもしれません。
恐ろしい話です。💦
スポンサーリンク
最後に
今回は「ブルートフォースアタック」の概要と攻撃手段、対策について
まとめました。
パスワードを設定するときはついわかりやすく忘れないように設定してしまいがちですが、
不正ログインの被害に遭わないようにするためにも日ごろから対策しておくことが大切です。
少し上でも触れましたが、攻撃側も日々進化しているので
確実に防げる策は残念ながらありません。
しかし攻撃手段や、その攻撃に対する防衛策を知って実践するだけでも
かなり被害に遭う確率は減るのではないでしょうか。
ありがとうございました。
