「ブルートフォースアタック」（総当たり攻撃）とは

[セキュリティ・キャンプ実施協議会，＠IT]

印刷

通知 連載「％」の新着をメールで通知

鬯ｯ�ｯ�ｽ�ｯ�ｽ�ｽ�ｽ�ｯ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｯ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｮ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｫ鬯ｯ�ｯ�ｽ�ｯ�ｽ�ｽ�ｽ�ｩ鬮ｯ蜈ｷ�ｽ�ｹ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｨ鬯ｯ�ｩ陝ｷ�｢�ｽ�ｽ�ｽ�｢�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｧ鬯ｮ�ｫ�ｽ�ｰ�ｽ�ｽ�ｽ�ｽ驕ｶ荵暦ｽｩ�ｸ�ｽ�ｿ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｹ鬯ｯ�ｯ�ｽ�ｮ�ｽ�ｽ�ｽ�ｫ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｴ鬯ｯ�ｮ�ｽ�ｮ髫ｲ蟷｢�ｽ�ｶ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�｣�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�｢�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽPost

Shareシェア

はてなブックマーク

SharePocket Button

　「ブルートフォースアタック」とは、パスワードを特定するために、使用できる文字の全ての組み合わせを試行し、検証していく攻撃手法の一つである。「総当たり攻撃」とも呼ばれている。

　例として、数字4桁のパスワードを入力してログインするシステムがあった場合、攻撃者が、0000、0001……9999と順番に、1万通りを試行していきパスワードを特定する手法がある。別の例としては、辞書データを用いて、辞書にある単語そのものや、複数単語の組み合わせを総当たりしていく手法もある。

　背景には、近年のコンピュータやネットワークの性能向上がある。従来の“人手”では特定不可能だった長さのパスワードであっても、コンピュータに組み合わせの生成や試行を任せることで特定可能になったり、ネットワーク越しにブルートフォースアタックをかけることも可能になったりしている。

　しかし、パスワード長が極端に長かったり、使用される文字種類が多かったりする場合は、コストをある程度かけた高性能のコンピュータであっても特定するためには非常に長い時間を要するので、見つかりやすくなり攻撃側としては現実的ではなくなる。

　このため、本手法への対策としては、短いパスワードを設定できなくすること、パスワード設定に必要な文字種数を多くすること、よく使われる英単語の利用を避けることなど、パスワード自体の強度向上が挙げられる。

　そもそも、本手法は試行のアクセスが連続であるため、きちんと監視していれば気付きやすいといえるだろう。異常なほど連続で認証に失敗したアクセスがあった場合、確認した上で当該IPアドレスからのアクセス禁止にするなどの対策を採ることも必要である。

　なお、似た単語に「リバースブルートフォースアタック」がある。こちらは、パスワードを固定して、利用者IDなどを総当たりしていくことで認証を突破する攻撃手法だ。

■更新履歴

【2004/1/1】初版公開。

【2019/2/4】最新情報に合わせて内容を書き直しました（セキュリティ・キャンプ実施協議会 著）。