一覧に戻る
Lv.1

ブルートフォース攻撃

Brute Force Attack

パスワードの組み合わせを、片っ端からすべて試して突破を狙うサイバー攻撃。

簡単に説明すると

ブルートフォース攻撃は、パスワードの組み合わせを総当たりで試して突破しようとする方法だよ。 例えば、あるWebサービスのログインフォームに対して、英数字を組み合わせた候補を1つずつ自動で入力し続け、正しいパスワードに行き着くまで延々と試行を繰り返すイメージなんだよ。 パソコンを使って自動で高速に実行されることが多く、パスワードの文字数が少なかったり単純だったりすると、組み合わせの総数が少ないため突破されやすくなってしまうんだよ。

名前のヒミツ

英語の「brute force」は「強引な力」や「暴力」という意味なんだ。 これをサイバー攻撃に当てはめて、力ずくでパスワードをこじ開けるイメージから名付けられたよ。 日本語では「総当たり攻撃」とも呼ばれていて、名前の通り考えられるパターンを全て試す特徴を表しているんだ。

くわしく見てみよう!

ブルートフォース攻撃とは、暗号鍵やパスワードなどを解読するために、考えられるすべての組み合わせを網羅的に試していくサイバー攻撃の手口のことだよ。
ダイヤル式の鍵を「0000」から「9999」まで順番に回して無理やり開けようとする行為に似ているんだ。

この攻撃には、稼働している認証システムへ直接アクセスを繰り返す「オンライン攻撃」と、入手済みの暗号文やハッシュ化されたパスワードを攻撃者の手元の環境で解析する「オフライン攻撃」の2つのパターンがあり、それぞれ対策が異なるよ。

オンライン攻撃は、ログイン画面などを通じて候補を1つずつ送信して認証を試みるため、システム側でログインの試行回数を制限(レート制限)したり、連続して失敗したアカウントを一時的にロックしたりする対策が効果を発揮するんだ。

一方でオフライン攻撃は、攻撃者が自身のコンピューターを使って大量の計算を行うため、システム側のログイン制限は効かないんだ。
この攻撃に対抗するには、解析に膨大な時間がかかるように十分に長く複雑なパスワードや強固な暗号鍵を使うこと、またシステム側ではソルト付きの計算コストの高い方式でパスワードをハッシュ化して保存するなどの対策が求められるよ。

カテゴリセキュリティ