【セキュリティ】ブルートフォースアタック(総当たり攻撃)の概要と対策

2023.04.12

X facebook

ウェブスピードのセキュリティ機能には、「ブルートフォースアタック(総当たり攻撃)」をブロックする機能が標準で実装されていますが、このブルートフォースアタックとはどのような攻撃なのか、また、ブルートフォースアタックへの対策についてご紹介いたします。

ブルートフォースアタック(総当たり攻撃)の概要と手法

ブルートフォースアタック(Brute Force Attack)または総当たり攻撃とは、Webサイトやアプリケーションに存在する、暗号化されたデータのパスワードを解読するために用いられる攻撃手法です。攻撃者はパスワードなどの秘密情報を解読するために、全てのパスワード認証の組み合わせを順番もしくはランダムに試行していきます。

例えば、攻撃対象となるWebサイトやアプリケーションに、4桁の数字のパスコードがある場合、攻撃者は膨大な計算処理・分散処理を実行できるコンピューティング環境を用いて、0000~9999までの全ての組み合わせを試行して、認証できるパスワードを見つけようとします。これにより攻撃者は、簡単なパスワードであれば比較的に短時間で解読することができます。

ブルートフォースアタックへ対する防御策

ブルートフォースアタックを防ぐためには、強固なパスワードポリシーや二要素認証などのセキュリティ強化が必要です。しかし昨今の技術の進歩により、攻撃者の技術も巧妙となってきているため、たとえパスワードが複雑で長い場合であっても、攻撃者は全ての可能性を試行すべく、どんなに強固なパスワードポリシーでも突破してくることが予想されます。

したがって、強固なパスワードポリシーの設定に加えて、不審なIPアドレスから何度もアクセスがある場合には、そのIPアドレスが上位レベルのネットワークで検出しブロックするようなシステムや、パスワードのログイン自体を強固な認証形式にする多要素認証(MFA)の利用が有効なセキュリティとなります。

① 強固なパスワードポリシーの導入

パスワードポリシーは、パスワードの複雑さ・文字数・有効期限・再利用の制限などを定めたルールのことです。強固なパスワードを使用することで、ブルートフォースアタックが成功する可能性を低減できます。

② 多要素認証の利用

多要素認証は、ユーザーがパスワードへログインする際に、通常のパスワードに加えて追加の認証要素を要求するセキュリティ機能です。例えば、別の端末へSMSで送信される認証コードを入力することで、ログインが許可される仕組みです。このように、ブルートフォースアタックに対する追加のバリアを設けることができます。

③ アカウントのブロック

不審なログイン試行が検出された場合、上位レベルのネットワークでアカウントをブロックすることで、攻撃者による不審なアクセスを防ぐことができます。

④ CAPTCHAの利用

CAPTCHAは、ロボットによる自動ログインや、ブルートフォースアタックを防止するためのセキュリティ機能です。パスワードへログインする際に、画像や音声による認証を求めることで、実在する人間によるログインであることを確認し、攻撃を防ぐことができます。

⑤ セキュリティサービスの導入

セキュリティサービスには、ブルートフォースアタックを防御する機能が含まれている場合があります。例えば、WAF(Web Application Firewall)などのセキュリティサービスを導入し、ネットワーク上位で攻撃をブロックすることで、セキュリティレベルの向上が期待できます。

まとめ

以上、ブルートフォースアタックの概要と防御策をご紹介しました。

ブルートフォースアタックを仕掛けてくる攻撃者は、Webサイトやシステムへ対して無差別に攻撃してくるため、「自社のWebサイトは狙われないので大丈夫」ということはありません。いつか攻撃の対象になることを想定して、事前にセキュリティを強化しておくことをオススメします。

サービスのお問い合わせ

ウェブスピードのサービスについて、さらに詳細をご希望の場合には、当サイトのお問い合わせフォームから、お気軽にお問い合わせください。