サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 用語・国際規格 リバースブルートフォース攻撃|セキュリティ用語解説

リバースブルートフォース攻撃|セキュリティ用語解説

リバースブルートフォース攻撃
目次
  • リバースブルートフォース攻撃とは
  • リバースブルートフォース攻撃への対策と緩和策

リバースブルートフォース攻撃とは

「パスワードクラック」と呼ばれるパスワードを特定するいくつかの手法の中でも、最も単純な攻撃手法のひとつがブルートフォース攻撃です。ブルートフォース攻撃は別名「総当たり攻撃」とも呼ばれます。その手法は至ってシンプルで、ターゲットとなる会員制Webサイトのログイン用ユーザIDを固定し、パスワードで設定可能な文字種・文字数のあらゆるパターンを網羅的に用意してログインを試みます。文字通り「brute force(ブルートフォース)=強引に、力ずく」でパスワードを特定する手法です。

パスワードを総当たりで特定するブルートフォース攻撃に対し、「リバース」ブルートフォース攻撃は、パスワードを固定した状態でユーザIDを総当たりでログインを行い、アカウントの特定を試みる手法です。この攻撃は特に、ユーザが「よく使われる弱いパスワード」を利用している場合や、パスワードに設定可能な文字種・文字数のパターンが少ない場合(数字4桁など)では有効な攻撃手法です。また、繰返しログイン失敗したアカウントを一定期間保護する機構(アカウントロック)を回避してブルートフォース攻撃を行う際にも有効な攻撃手法となります。

例えば、銀行の口座番号と暗証番号でログインを行う会員制Webシステムがあると仮定します。多くの場合、暗証番号は4桁の数字であるため、リバースブルートフォース攻撃が有効です。もし被害者の属性情報(電話番号、住所、生年月日)が判明している場合は、攻撃時に固定する暗証番号を生年月日の月日にする、電話番号の4桁にする、など予め推測してから行うことで、より効率よく攻撃を行うことも可能です。

リバースブルートフォース攻撃への対策と緩和策

それでは、リバースブルートフォース攻撃にはどのような対策が有効なのでしょうか。考えられる代表的な対策の例を見てみましょう。

Webサイト管理側での対策

①CAPTCHAの実装

CAPTCHAのような自動化・機械化されたアクセスを拒否するアンチオートメーション機能を実装することで、リバースブルートフォース攻撃への有効な対策となります。

②IPアドレスでの制限

例えば特定のIPアドレスからの特定条件でのログイン試行を検出し、該当するIPアドレスからのアクセスを制限します。連続したログイン失敗の閾値を設定し、アクセス制限を施すことで、リバースブルートフォース攻撃への有効な対策となります。

③パスワードの文字数・文字種を増やし、パスワードのパターンを増やす

これはブルートフォース攻撃全般に言えることですが、パスワードの推測・特定を困難とするために、パスワードに使用できる文字数、文字種を増やすことで、被害にあうリスクを軽減することができます。但し、あくまで被害にあうリスクを軽減するものであり、ユーザが「よく使われる弱いパスワード」を設定した場合には依然としてリスクが生じるため、攻撃を完全に防止するためには①、②のようなアンチオートメーション機能の実装が必要です

利用者側での対策

①二段階認証を有効にする

スマートフォンのSMSやアプリを用いた二段階認証を有効にすることで、万が一ID/パスワードが特定された場合でもアカウント奪取を防止することができます。但し、有効なID/パスワードの特定に至った場合、他の会員制Webサイトのアカウントを奪取されるなど、二次的な被害が発生する場合がある点に注意が必要です。

②安易なパスワード・よく使われる弱いパスワードを設定しない

Webサイト管理側でパスワードに利用できる文字数・文字種を増やす対策が施されていたとしても、ユーザが安易なパスワードやよく使われる弱いパスワードを設定してしまっては、攻撃者からも容易に推測可能であるため対策とはなりません。安易なパスワードの例としては、IDと同一の文字列や、password、secretといった一般単語が挙げられます。よく使われるパスワードの例としては以下をご参照ください。
Top 200 most common passwords of the year 2020 (NordPass.com): https://nordpass.com/most-common-passwords-list/

③他のサイトで使用されているパスワードを用いない

同一のパスワードで登録していた他サイトでID/パスワード等の登録情報の漏洩が発生した場合、使用しているパスワードを特定され、リバースブルートフォース攻撃に悪用される恐れがあります。そのため、会員向けWebサイトごとに異なるパスワードを設定しておくことも対策の一つです。

パスワードリスト型攻撃の記事も合わせてご参照ください。

④利用者個人に紐づく属性値(生年月日、電話番号、住所)をパスワードに用いない

生年月日等、利用者個人に紐づく属性情報をパスワードに用いないようにします。推測、入手可能なこれら情報からパスワードが特定された場合、リバースブルートフォース攻撃の成功確率が増加するでしょう。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 海瀬 秀晃

国内某大手メーカーの社内VPNの運用・管理業務に携わり、ネットワークインフラ管理業務を経験。2013年よりサイバーセキュリティ業界に足を踏み入れる。2016年には国内初となるSaaS型 WAFの自社開発を実現し、商品化・販売を行う。2020年2月 株式会社SHIFT SECURITY入社し、Web脆弱性診断の診断品質を担保する業務に従事。情報処理安全確保支援士。恐妻家。三兄弟の父。

\ 記事をシェアする /

サービスに関する
お問い合わせ