昨今のサイバーセキュリティ環境において、ブルートフォース攻撃は重要な脅威として位置づけられています。2024年の情報セキュリティ10大脅威によると、ランサムウェアをはじめ、サプライチェーンの弱点を悪用した攻撃、標的型攻撃による機密情報の窃取など、多岐にわたるサイバー攻撃が報告されています​​。これらの攻撃は、個人から企業、さらには国家レベルのインフラまで、幅広い対象に甚大な影響を及ぼす可能性があります。

この記事では、ブルートフォース攻撃の概要から対策までを詳しく解説し、昨今のサイバーセキュリティの状況を踏まえた上で、個人や企業がどのようにして自身を守ることができるのかを掘り下げていきます。

ブルートフォース攻撃(Brute Force Attack)とは

ブルートフォース攻撃(Brute Force Attack)とは、攻撃者が無数のパスワードの組み合わせを試みることにより、セキュリティシステムやネットワークを侵害しようとする方法です。
文字通り「力ずくの攻撃」として知られ、総当たり攻撃とも呼ばれます。この攻撃の目的は、ユーザー名・パスワード・あるいはその他のセキュリティクレデンシャルを推測しシステムに不正アクセスすることにあります。

攻撃者は通常、自動化されたソフトウェアを使用して、可能な限り多くのパスワードの組み合わせを迅速に試みます。
例えば、あるアカウントのパスワードが4桁の数字に設定されている場合、ブルートフォース攻撃のツールは0000から9999までのすべての組み合わせを試します。このプロセスは、アルファベットや特殊文字を含むより複雑なパスワードに対しても同様に行われます。

攻撃者が使用するプログラムは非常に効率的であり、短時間で数千、あるいは数百万のパスワードを試すことができます。 このタイプの攻撃は特にパスワードが弱い、あるいは一般的なものである場合に効果的です。多くのユーザーが簡単なパスワードを設定しているため、ブルートフォース攻撃は依然として一般的なセキュリティ脅威の一つです。特に企業や組織では、一人のユーザーの弱いパスワードが全体のセキュリティを危険に晒す可能性があります。

ブルートフォース攻撃を受けた場合の想定される被害

ブルートフォース攻撃によって生じる被害は多岐にわたります。主な被害には以下のようなものがあります

  • サービス・アカウントの乗っ取り: 攻撃者が成功すると、個人または組織のアカウントを乗っ取り、そのアカウントを利用して追加の悪意ある活動を行うことができます。これには、フィッシング攻撃の開始、マルウェアの配布、またはその他のアカウントの乗っ取りが含まれます。
  • 個人情報・機密情報の漏洩: ブルートフォース攻撃によりアカウントが侵害されると、重要な個人情報や機密情報が漏洩する可能性があります。これには顧客データ、従業員の個人情報、財務記録などが含まれ、企業の信用や法的責任に影響を与える可能性があります。
  • クレジットカードや口座の不正利用: 攻撃者は乗っ取ったアカウントからクレジットカード情報や銀行口座の詳細を抽出し、これらを利用して不正な取引を行ったり、資金を盗んだりすることがあります。これにより、金銭的な損失や詐欺の被害につながる場合があります。
  • WEBサイトの改ざん: WEBサイトやオンラインサービスの管理者アカウントが攻撃により侵害されると、攻撃者はWEBサイトの内容を改ざんしたり、悪意のあるコードを注入したりすることができます。これにより、サイトの訪問者に対するマルウェア感染のリスクが生じる他、企業の信頼性に損害を与える可能性があります。

ブルートフォース攻撃は、その単純さと適用範囲の広さから、サイバーセキュリティにおいて依然として一般的な脅威とされています。企業や組織、個人ユーザーは、このような攻撃から身を守るために、適切な対策を講じる必要があります。

ブルートフォース攻撃による被害事例

下記はブルートフォース攻撃によって引き起こされた被害になります。

日本コープ共済生活協同組合連合会の事例 (2019年)

2019年11月、外部からのサイバー攻撃が原因で同生協のホームページ内にマルウェアが設置されていたことが判明。
JP共済生協によると某日、気象庁に偽装したフィッシングメールを受信。ところが問題のメールは不正なプログラムのダウンロードを目的として生協が委託するサーバーが指定されておりマルウェアに感染。事態を把握した生協は2019年11月7日、ホームページの閉鎖を決定。

問題のマルウェアはファイル転送サービスを利用した不正アクセスを通じてサーバー内に設置されたものと判明。攻撃者は「ブルートフォースアタック」などにより外部に流出した転送用アカウントのパスワードを入手しており、これが不正アクセスに悪用されたものと説明している。

参照:ホームページに関するお詫びと再開のお知らせ/JP共済生協

株式会社セブン・ペイの事例 (2019年)

株式会社セブン・ペイが提供していたスマートフォン決済サービス7payが、2019年7月に一部アカウントがブルートフォース攻撃などによる不正アクセスを受け不正利用された。登録ユーザーの約900人がクレジットカードやデビットカードから勝手にチャージされ、セブンイレブンの店舗で不正に買い物をされるなどし、被害総額は5500万円にものぼった。この決済サービスは、二段階認証を導入しておらず、IDとパスワードだけでサービスが利用可能というセキュリティ面に脆弱性があったことで批判を受け、2019年9月30日でサービスを終了した。

参照:「7pay(セブンペイ)」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について

SBI証券に不正ログイン (2020年)

2020年には、SBI証券がブルートフォース攻撃の被害に遭い、顧客6人の証券口座から総額約9,864万円が不正に流出した。攻撃者はSBI証券の顧客のパスワードを推測するためにブルートフォース攻撃を実施。この事件は、金融機関におけるセキュリティの脆弱性と、顧客の資産を保護するための対策の必要性を強調しています​​。

参照:悪意のある第三者による不正アクセスに関する調査報告及び再発防止策について

ドコモ口座で相次ぐ不正出金 (2020年)

同じく2020年、ドコモ口座では複数の不正出金が発生。同社のシステムに侵入され機密情報を窃取されたものではないとされているが、攻撃者がドコモ口座のパスワードをブルートフォース攻撃等で不正に取得した可能性があると考えられている。この事例は、オンラインバンキングサービスのセキュリティリスクを浮き彫りにし、強力な認証システムの導入の重要性を示しています​​。

参照:一部銀行の口座情報を使用したドコモ口座の不正利用について

これらの事例は、ブルートフォース攻撃がいかに多くの業種や企業に影響を及ぼす可能性があるかを示しています。セキュリティシステムの強化、強力なパスワードポリシーの導入、従業員への教育といった対策が、この種の攻撃から組織を守るためには不可欠です。

ブルートフォース攻撃の主な手法

ブルートフォース攻撃にはいくつかの一般的な手法があり、それぞれが異なるアプローチでセキュリティを侵害します。

辞書攻撃

辞書攻撃は、一般的に使われる単語やフレーズ、一般的なパスワードのリストを使用してパスワードを推測する方法です。このリストは通常、以前のデータ侵害から得られたパスワードや、ユーザーがよく使う単純なパスワード(例:「password」や「123456」)から構成されます。辞書攻撃は、特に単純で予測可能なパスワードを使用するシステムが標的にされます。

総当たり攻撃

総当たり攻撃は、可能なすべての文字の組み合わせをシステム化して試みることでパスワードを突き止める方法です。例えば、あるパスワードが4桁の数字で構成されている場合、総当たり攻撃は0000から9999までのすべての組み合わせを試みます。この手法は、使用される文字の種類やパスワードの長さに応じて、時間がかかる場合がありますが、最終的には正しい組み合わせを見つけ出すことができます。

パスワードリスト攻撃

パスワードリスト攻撃は、漏洩したり公開されたりしたパスワードの大規模なリストを使用してログインを試みる方法です。これらのリストは、過去のデータ侵害事件などから得られることが多く、攻撃者はこれらのリストを利用して大量のアカウントにアクセスを試みます。

ハイブリッド攻撃

ハイブリッド攻撃は、辞書攻撃や総当たり攻撃の要素を組み合わせたものです。一般的なパスワードやパターンに基づいて、より効率的にパスワードを推測します。たとえば、一般的なパスワードの後ろに数字や特殊文字を追加することで、予測をより困難にします。

これらの攻撃手法は、特にセキュリティ対策が不十分なシステムやアカウントに対して非常に効果的です。したがって、強力なパスワードポリシーの実施や、セキュリティ対策の継続的な更新と監視が重要となります。

ブルートフォース攻撃の対策方法

ブルートフォース攻撃からシステムを保護するためには、多層的なセキュリティアプローチを採用することが重要です。以下は、ブルートフォース攻撃に対抗するための主な対策方法です。

複雑なパスワードの設定

パスワードは、12文字以上の長さで、大文字、小文字、数字、特殊文字を組み合わせることを推奨します。 単純な単語や一般的なフレーズ、個人情報に関連する文字列(例:生年月日、名前)の使用は避けてください。 定期的にパスワードを変更し、同じパスワードの再利用を避けることが重要です。

二段階認証・多要素認証の設定

パスワードに加えて、ワンタイムパスワード(OTP)、スマートフォンアプリ、SMS、電子メール、あるいは生体認証(指紋認証、顔認証など)を使用します。 二要素認証は、パスワードが漏洩しても、不正アクセスを防ぐ効果的な方法です。

ログイン端末の制限

信頼できる端末やネットワークからのみログインを許可し、未知の端末や不審なアクセス元からのログインをブロックします。

ログイン試行回数の制限

アカウントが特定の短時間に多数のログイン試行を受けた場合、自動的にアカウントをロックする設定を行います。 これにより、ブルートフォース攻撃による無限の試行を防ぐことができます。

海外IPアドレスなどの制限

特定の国や地域からのアクセスを制限することも効果的な対策の一つです。 事業活動と無関係な国からのアクセスをブロックすることで、攻撃のリスクを低減します。

セキュリティ監視とアラートシステム

不審なアクセスパターンや疑わしい活動を検出した場合にアラートを発するセキュリティシステムを導入します。 早期発見と迅速な対応は、セキュリティ侵害の被害を最小限に抑えるために不可欠です。

これらの対策は、組織のセキュリティ態勢を強化し、ブルートフォース攻撃のリスクを減少させるために重要です。セキュリティは常に進化するため、最新の脅威に対応するために定期的な見直しと更新が必要です。また、従業員へのセキュリティ意識向上のための教育や訓練も重要な要素となります。

アクトのサイバーセキュリティ対策支援

アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。