第20回最もアナログなブルートフォース攻撃とは？

快適ITライフのために知っておきたい
初めての情報セキュリティー

PCのウイルス感染による個人情報の漏えい、インターネットを利用した犯罪などが急増する昨今、ITの専門家だけでなく、使う側のITリテラシーが問われている。ITコンサルタントのドクター・グンプ氏に、人類総インターネット時代の新常識を学ぶ。

Dr. Hermann Gumpp ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学（LMU）や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所（NII）での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。

「ブルートフォース（Brute Force）」は英語で「力ずく」を意味し、今回説明する「ブルートフォース攻撃」は、コンピューターシステムに侵入するための最も古く、最も頻繁に行われる不正アクセスの方法の一つである。

専門知識と知恵を絞ってセキュリティーホールを見つけ出し、システムに侵入するハッカーとは異なり、ブルートフォース攻撃は、アカウントとパスワードのあらゆる組み合わせをひたすら入力し続けることで、システムへの侵入を試みるスタイル。

もちろん、これはソフトウエアを使用し自動化されているが、正しいパスワードにたどり着くまでに数日から数週間、何万回とログインを試行する。つまり、パスワードが複雑かつ長いものであれば、ある程度解読するのに時間がかかるため、強力なパスワードの設定やパスワードにほかの認証要素（カード型トークンや指紋認証など）を追加することで、ブルートフォース攻撃からアカウントを守ることができる。

しかし、実際には未だに多くの企業や個人がこの攻撃の被害を受けており、特にログインできる回数に制限が設けられていない場合は、より被害にあいやすいのが現状だ。そのため、パスワードを3回間違って入力した場合には、一定期間アカウントがロックされるよう設定することをおすすめする。

さらに、こうした攻撃を適時に検知し制止するために、ログインの履歴はすべて記録しておいたほうが良いだろう。

実際、ユーザーの多くはアカウントがハッキングされても気がつかない場合が多いことが判明している。不正にパスワードが解読され、アカウントにアクセスされたと少しでも感じることがあれば、できるだけ早めにパスワードを複雑なものに変更するか、管理者にパスワードを変更してもらうように依頼しよう。

力ずくで不正アクセスを試みる「ブルートフォース攻撃」