ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策

Image

ブルートフォースアタックはどれほど危険なのか?ブルートフォースアタックの有効な対策は?安全を確保するために今すぐできることは?この3つの疑問にお答えするためのブルートフォースアタックに関する情報をまとめています。


ブルートフォースアタックの危険性について、詳しい情報や押さえておきたいポイントをお探しですか?ブルートフォースアタックは総当たり攻撃とも呼ばれるため、「総当たり攻撃」という名前からどんな攻撃なのか何となく想像できている方も多いと思います。

  • ブルートフォースアタックはどれほど危険なのか?
  • ブルートフォースアタックの有効な対策は?
  • 安全を確保するために今すぐできることは?

ブルートフォースアタックについて今すぐ必要なのは、この3つの疑問に対する答えです。この記事ではこの3つの疑問にお答えするための情報をまとめていますので、ブルートフォースアタックが気になる、少しでも不安をお持ちの方はぜひ今すぐできる対策で安全を確保してください。

1.そのパスワードは、ブルートフォースアタックで破られるかもしれません

1-1.ブルートフォースアタックとは

ブルートフォースアタックは「総当たり攻撃」とも呼ばれる、パスワードを破る手法のひとつです。総当たりという言葉からも想像できるように、パスワードに使われていると推測される文字列を1つずつ変えながら片っ端から試していき、正解に当たるまで試し続けます。

4桁の番号式になっているチェーンロックで施錠されている自転車があるとします。その自転車を盗もうとする人がこれを0000から始めて、

0001、0002、0003と順に試していくとします。

組み合わせ数は全部で1万通りということがあらかじめ分かっていますので、時間さえ掛ければいつかは正解を当てることができます。つまり、4桁の番号式チェーンロックはブルートフォースアタックでいつかは開錠することができるということです。

人間が手作業でやると途方もない時間が掛かるので現実味がないかも知れませんが、それをコンピュータにやらせれば短時間でパスワードを破られてしまう可能性があります。

1-2.最も原始的かつ最も確実な攻撃

ブルートフォースアタックはとても原始的な手法ではありますが、時間を掛ければいつかは正解に行きつくという確実性を持った攻撃です。しかもコンピュータの性能が向上することによって反復処理のスピードも速くなっているので、以前より早く正解を当てられてしまう環境が整ってしまっています。

ブルートフォースアタックはとても原始的ではありますが、今もなお確実性の高い攻撃として犯罪行為にしばしば用いられています。

1-3.パスワードの種類、桁数と解読時間の関係

ブルートフォースアタックを仕掛けるには1文字ずつ組み合わせを変えてひたすら試し続けるという反復処理を行うため、コンピュータの処理能力によって所要時間が大きく変わってくると述べました。

これはつまり、パスワードの桁数が多くなったり使用している文字の種類が多いと試す組み合わせの数が多くなるため、パスワードの複雑さによってもブルートフォースアタックの所要時間は大きく変わるということです。

この表は、独立行政法人情報処理推進機構セキュリティセンターが、パスワードに使用している文字の種類別に解読の所要時間をまとめたものです。

出典:https://www.ipa.go.jp/security/txt/2008/10outline.html

4桁の英文字だけだとわずか3秒で破られてしまう一方で、大文字と小文字の区別がある英文字と数字、記号を組み合わせて10桁にすると、1千万年も掛かるという試算結果になっています。

この表を見る限り、青い色がついている部分は解読の現実味がありません。つまり、この青い色になっている部分の条件が揃っているようなパスワードにしておけばブルートフォースアタックによる被害発生の可能性が極めて低くなるということです。

とは言っても、2008年のデータであり、現在のコンピュータの処理速度は当時と比べ劇的に向上しています。英字や数字だけでなく特殊文字を意識して使うなど、安全のためにパスワードは可能な限り複雑にしておくに越したことはありません。

1-4.パスワードが破られると起きること

1-4-1.金銭的な被害が発生する

ネットバンキングやポイントサービスなど、ネット上で金銭またはそれに近いものを管理することが当たり前になりました。こうしたサービスでは他人に不正使用されないようにパスワードが必ず設定されているわけですが、この肝心のパスワードが破られてしまうと不正に出金、送金されるなどの被害が発生します。

これはブルートフォースアタックだけに限らず、他のサービスと同じパスワードを使用していると、そのパスワードが何者かに流出してしまった時に同じパスワードを試されて破られる恐れもあります。こうした攻撃はパスワードリスト攻撃と呼ばれ、パスワードの使い回しに潜むリスクとして知られています。

いくら複雑なパスワードにしたとしても、使い回していたら別のリスクにつながるということです。

1-4-2.個人情報、機密情報が漏洩する

パスワードによって保護されていた個人情報や機密情報が漏洩してしまう被害が発生しています。

例えば、メールで機密情報を送る際にファイルにパスワードを設定することがあります。送信の過程で何者かにファイルを窃取されても開くことを阻止できる手段としてよく用いられていますが、PDFやZIPファイルに掛けられているパスワードをブルートフォースアタックで破られてしまうと、そこから機密情報が漏れてしまいます。

パスワードによって保護されているZIPファイルがブルートフォースアタックでどのように解読されるのかという実験を「2.ブルートフォースアタックでパスワードが解析してみる」で行っていますので、引き続きそちらも読み進めてください。

1-4-3.Web、SNSなどを改ざんされる

Webサイトを管理するためのログインパスワードが破られると、Webの内容を改ざん、破壊することができるようになります。また、Facebookの乗っ取りで多発しているようなSNSの改ざんもパスワードを破ることによって可能になるため、こうした行為が金銭など二次的な被害に及ぶ可能性があります。

1-4-4.Wi-Fi通信のただ乗り、盗聴をされる

無線LANを使用している方はパスワードによってアクセスポイントとデバイス間の通信を保護しているのが普通ですが、このパスワードが破られてしまうとWi-Fiのただ乗りや通信内容の窃取に発展する恐れがあります。

1-5.特別な技術を必要としないブルートフォースアタック

ブルートフォースアタックまたは総当たり攻撃は人間がやると途方もない時間と手間を要するので現実味がありませんが、それをコンピュータにやらせることによって飛躍的に効率がアップします。

次章での実験に用いる「PikaZip」のようにブルートフォースアタックに使えてパスワードを解読できるツールが無料で簡単に手に入るので、一部の専門家だけのものではないという認識を持つ必要があります。

2.ブルートフォースアタックでパスワードが解析してみる

2-1.ZIPファイルにパスワード設定をしている方へ

ファイルを圧縮する方法として有名なZIP形式には、ZIPファイルを作成する際にパスワードを設定することができます。機密性の高いファイルを相手に届ける際にパスワードを掛けることで、万が一そのファイルが第三者の手に渡ったとしても中身を見られることがないようにする手立てとして、よく用いられています。

しかし、ZIPファイルに設定したパスワードはブルートフォースアタックによって解読できる可能性があります。それを可能にする無料のツールもあるので、特に難しい知識がなくても可能です。次項では、実際にZIPファイルに設定されたパスワードを解読してみたいと思います。

2-2.ZIPファイルをブルートフォースアタックでパスワード解析してみると

ZIPファイルに設定されたパスワードを、設定した本人が忘れてしまうことがあります。ここでご紹介する「PikaZip」というフリーソフトは、そんな時にパスワードを解読するためのものです。

しかし、その手法が総当たりによるものなので、ブルートフォースアタックに悪用できてしまいます。

Core-i5というCPUが搭載されたパソコンで、実際にブルートフォースアタックの実験をしてみます。

最初に「7777」という決しておすすめできない単純なパスワードを設定したZIPファイルを、「PikaZip」で解読してみました。

解読開始を指示するボタンをクリックした瞬間に結果が出ました。「時間」欄の時計が全く進んでいないことが見て取れるように、ほんの一瞬の出来事でした。

次に、もう少し複雑なパスワードを試してみます。「abc123」という6桁で2種類の文字列を混在させたパスワードを設定して、「PikaZip」で解読をしてみます。

今度は、解読に9秒ほど掛かりました。「9秒ほど掛かった」と表現しましたが、逆に考えるとZIPファイルにパスワードを設定しているから安心だと思っていても、わずか9秒で破られてしまうということです。

なぜこんなに早く解析できたのかという理由には、パスワードの管理上とても重要なポイントがあるので、それを次項で解説します。

2-3.簡単なパスワードが数秒で解析されてしまったワケ

前項で行ったブルートフォースアタックの実験では、少し複雑なパスワードを設定してもわずか9秒で解析できてしまいました。実はこの実験には、ひとつカラクリがあります。それは、パスワードに使われている文字列をあらかじめ「PikaZip」に設定していたのです。

「abc123」というパスワードの解析を行う前に、「6桁であること」「小文字の英文字と数字で構成されていること」を設定しました。

これが分かっているだけでブルートフォースアタックによって試す組み合わせの数は大幅に減るため効率が向上し、9秒で正解を見つけ出したのです。

これとは別に、パスワードの桁数や構成文字列の種類という情報を一切与えずに同じように実験をしたところ、以下のようになりました。

 

今度は、約3時間を要しました。「PikaZip」にとっても総当たりで試す組み合わせ数がとても多かったために、所要時間が大きく増えています。

ブルートフォースアタックで試す必要のある組み合わせ数を、多くすればするほど破られにくくなることが実証されました。そしてパスワードの文字列が何文字なのか、どんな種類の文字列が含まれているのかを知られないようにすることがセキュリティ上有効であることが分かります。

3.ブルートフォースアタックからパスワードを守る対策

3-1.複雑で長い強固なパスワードを設定する

「PikaZip」を使ったブルートフォースアタック実験でも示されたように、パスワードの組み合わせ数を増やすことが解析を困難にさせるため、「複雑で強固なパスワード」とは、以下のようなパスワードであると結論づけることができます。

  • 複数種類の文字列が含まれている(英文字の大文字と小文字、数字、記号など)
  • 桁数が多い(多くのサービスでは8桁以上が推奨されています)
  • 意味のないランダムな文字列
  • 他では使われていないオリジナルの文字列

3つ目と4つ目についてはパスワードリスト攻撃を意識したもので、ブルートフォースアタックへの有効性はあまりありませんが、ブルートフォースアタックに使用されるツールの中にはパスワードとしてよく使われている文字列や、ターゲットとなっている人が使いそうな文字列を試す機能を持っているものもあるので、やはりランダムであることも重要です。

3-2.強固なパスワードを生成するツール3選

全く意味を持たず、ランダムで長い文字列を作るといっても、意外に難しく感じるものです。そこで「パスワード生成ツール」をご紹介したいと思います。これらのサービスを利用すると指定した文字数でランダムな文字列を生成してくれるので、それをパスワードとして使用するとブルートフォースアタックに強いパスワードとなります。

3-3.ブルートフォースアタック対策が施されているサービスを選ぶ

「総当たりで何度も試さなくてはならない」というのは、ブルートフォースアタックの弱点です。銀行のATMで何度も暗証番号を間違えると口座にロックが掛かり、しばらく暗証番号の入力を受け付けなくなります。これはブルートフォースアタック対策なので、これと同様のロック機能が多くのサービスに導入されています。

現在ではこのロック機能がないサービスを探す方が難しいとは思いますが、お使いのネットサービスにちゃんとロック機能があるかどうか一度チェックしてみてください。多くの場合、公式サイトに解説があります。

【参考】

3-4.二段階認証を利用する

IDとパスワードだけでログインするサービスの場合、ブルートフォースアタックによってパスワードが解析されてしまうとノーガードになってしまいます。そこで1つだけでなく2段階、2要素による認証を導入しておくと、仮にパスワードが知られてしまったとしてもまだログインできないので、安全性が向上します。

あらかじめ登録しておいたメールアドレスに認証コードが送られてきて、それを入力しなければログインが完了しない仕組みなど、二段階認証や二要素認証にはさまざまな形があります。詳しくは「二要素認証(2FA)とは?セキュリティ向上のポイント5つ」で解説していますので、ブルートフォースアタック対策としてもぜひ導入を検討してください。

4.まとめ

ブルートフォースアタックの方法や実験の結果をご覧になって、パスワードで保護しているからといって万全ではないことがお分かりいただけたと思います。手作業で自転車のチェーンロックを外す事とは違い、コンピュータは数万通りの組み合わせであっても短時間に試すことができてしまうのがブルートフォースアタックの厄介な点です。

しかし、パスワードの作り方を工夫すればブルートフォースアタックのリスクは大幅に低減できます。この記事の解説をお読みになり、強固で安全なパスワード設定で大切な財産や情報を守りましょう。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

ノートンのロゴ
  • Norton
ノートンは、世界中の人々や家族がデジタル ライフでより安全に感じられるように支援します

編集者注記: 私たちの記事は、教育的な情報を提供します。 私たちの提供物は、私たちが書いているすべての種類の犯罪、詐欺、または脅威をカバーまたは保護するとは限りません. 私たちの目標は、サイバーセーフティに関する意識を高めることです。 登録またはセットアップ中に完全な条件を確認してください。 個人情報の盗難やサイバー犯罪をすべて防ぐことは誰にもできないことと、LifeLock がすべての企業のすべての取引を監視しているわけではないことを忘れないでください。 Norton および LifeLock ブランドは、Gen Digital Inc. の一部です。

Contents

    その他の情報

    ノートンのソーシャルアカウントをフォローして、最新ニュースやお得な情報をゲットしよう。