リバースブルートフォース攻撃について解説

不正アクセスや不正利用などのサイバー犯罪を行う際に、ID(インターネットバンキング、パソコン・スマホのSNS等のログインID等)やパスワードを総当たりで入力して認証を試みる手口が用いられることがあります。なかでも気をつけたいのが、「リバースブルートフォース攻撃」です。

この記事では、リバースブルートフォース攻撃の仕組みや対策法を解説します。

「ブルートフォース攻撃」や「パスワードスプレー」の手口

犯罪の手口として「ブルートフォース攻撃」や「パスワードスプレー」が使われることがあります。「リバースブルートフォース攻撃」と同じく知っておきたい手口です。

ここでは、混同しやすいそれぞれの攻撃方法の違いについて解説します。

ブルートフォース攻撃

ブルートフォース攻撃は、IDとパスワードを組み合わせて認証を試みるサイバー攻撃です。日本語に直すと「総当たり攻撃」という意味を持ち、IDを固定して異なったパスワードを繰り返し入力していきます。

IDを固定した攻撃は、複数回認証が失敗したときにアカウントロックがかかる設定にしておけば防ぐことが可能です。近年は認証回数を制限しているサービスが多いため、ブルートフォース攻撃は比較的高い確率で被害を防ぐことが可能です。

パスワードスプレー

パスワードスプレーは、ひとつのパスワードを使って複数のアカウントに対して不正ログインを試行する攻撃です。アカウントロックが起きないように時間をかけて攻撃する点が特徴的です。

はじめにいくつかのグループを作成しておき、このグループ内のアカウントに対して同じパスワードで同時に認証を試行します。アカウントのロックがかかる前に一度認証をやめ、別で用意したグループに対して認証を試みます。その後、しばらく時間をおいてから最初に認証したアカウントに対して、異なったパスワードで不正アクセスを試行していくのです。これを何度も行うのが、パスワードスプレーの手口です。

時間をずらしたりIPアドレスを変えたりしながら時間をかけて攻撃するため、「low-and-slow攻撃」と呼ばれることもあります。

リバースブルートフォース攻撃とは?

リバースブルートフォース攻撃を日本語に直すと、「逆総当たり攻撃」という意味です。

特定のユーザーを標的にするのではなく、標的にできるログインIDを探し、攻撃していく手口になります。つまり、誰でも犯罪の標的になる危険性があるのです。

まずは、私たちの身近に潜むリバースブルートフォース攻撃の手口や危険性について見ていきましょう。

リバースブルートフォース攻撃の仕組み

リバースブルートフォース攻撃の仕組み
リバースブルートフォース攻撃の仕組み

リバースブルートフォース攻撃は、ブルートフォース攻撃と同じくIDとパスワードを入力していき、ログインできるアカウントを探していくサイバー攻撃です。しかしブルートフォース攻撃はIDを固定して特定のユーザーを標的に異なるパスワードを入力する方法であるのに対し、リバースブルートフォース攻撃は標的を絞らずひとつのパスワードを固定し、IDを変えながら何度も認証を繰り返していく方法になります。リバースブルートフォース攻撃の危険性

この攻撃の危険なところは、対策がとりにくいという点です。

IDを固定してパスワードを入力する一般的な総当たり攻撃の場合、複数回認証が失敗すると対象アカウントがロックされます。しかし、リバースブルートフォース攻撃はIDを変えていくので、アカウントのロック機能をかいくぐることができるのです。

何度も認証を繰り返せるため、一般的な総当たり攻撃よりも成功しやすい点が非常に特徴的です。

リバースブルートフォース攻撃への対策

リバースブルートフォース攻撃への対策方法
リバースブルートフォース攻撃への対策方法

アカウントロックによる対策がしにくいリバースブルートフォース攻撃を防ぐためには、認証の方法を複雑化することが非常に大切です。

ここからは、ご自分でできる簡単な対策法を2つ紹介します。

1複雑なパスワードを設定し強化する

使用しているパスワードを複雑化し、推測しにくいものにすることがリバースブルートフォース攻撃対策のためには大切です。JPCERT/CCによれば、パスワードを設定するときは以下の内容にすることが推奨されています。[注1]

  • 異なるシステムに対しては異なるパスワードを設定する
  • 電話番号や誕生日など、個人情報をもとにした文字列は使用しない
  • 可能な限り長い文字列を使用する
  • 特定の言語の辞書に載っているような単語を使用しない

上記の内容をもとに、第三者に推測されることのないパスワードを設定しましょう。

2多要素認証を利用する

多要素認証は複数の要素を利用してログインを試みる方法です。

要素は「知識要素」「所有要素」「生体要素」の3つに分けることができます。ログインに使用するIDやパスワード、秘密の質問などを「知識要素」、SMS認証やアプリ認証、ICカードなどユーザーの所有しているものを使用する認証を「所有要素」、顔認証や指紋認証などの身体の一部分を使用した認証を「生体要素」といいます。この3つの要素のうち2つ以上を組み合わせる多要素認証は、リバースブルートフォース攻撃に対して非常に有効です。

Webサイトやアプリごとに設定が可能なため、セキュリティ対策をしたいものには多要素認証を活用しておきましょう。

サイバー攻撃について知識を深めていこう

リバースブルートフォース攻撃は、パスワードを固定して複数のIDに総当たりで不正ログインを試行する攻撃です。アカウントロックで対策することができない厄介な手口なため、この記事で紹介した対策法を実践して個人情報を保護することが大切になります。

リバースブルートフォース攻撃以外にも世の中には様々なサイバー攻撃があります。ご自身の個人情報をまもるために、様々な知識を知っておくこともお勧めです。HOME ALSOK研究所ではサイバーセキュリティについて解説しております。是非記事をチェックしてみてください。

サイバーセキュリティ

この記事に関連する商品

HOME ALSOK Connect
お買い上げプラン
月額費用4,070円(税込)
  • スマホで簡単に警備操作
  • 24時間365日の徹底警備。緊急時にはガードマンが現場に急行
  • お手頃価格で家計も警備も安心
HOME ALSOK アルボeye
カメラ稼働式
月額費用2,750円(税込)
  • 自宅内に設置したカメラの映像をスマホでいつでも確認!
  • もしもの際はメールで異常を通知+ガードマンが駆けつけ
  • ご高齢者様の見守りなどの利用にも