- ブルートフォースアタック(総当たり攻撃)とは、パスワードのすべての組み合わせを自動で試し続けることで、不正ログインを試みる攻撃のことだ。
- GPUを使った現代の攻撃ツールは毎秒1,000億回のハッシュ計算が可能で、短くて単純なパスワードは数秒〜数分で突破され、ランサムウェア感染や情報漏洩の入口になってしまう。
- 仕組みを知っておけば、パスワードの長さと複雑さが指数関数的に安全性を高めるという事実が分かり、強いパスワード設定と多要素認証で確実に防御できる。
【深掘り】これだけは知っておけ
ブルートフォース(Brute Force)は「力ずく」を意味し、パスワードを総当たりで試す攻撃です。単純な総当たりに加え、よく使われるパスワードを優先的に試す辞書攻撃、パスワードを固定してIDを変える逆総当たり(リバースブルートフォース)など複数の変形があります。最新のGPU(RTX 4090)では毎秒1,000億回のハッシュ計算が可能で、数字のみ8桁のパスワードは数秒で突破されます。国内では、病院のサーバーがブルートフォース攻撃でパスワードを破られランサムウェアに感染し、約4万件の個人情報が漏洩した事例や、大手コンビニの決済サービスでブルートフォース攻撃による不正利用が発生した事例があります。
現代の攻撃では、クラウドGPUをレンタルすることで月10万円程度で本格的な攻撃インフラが構築できるとされており、かつては現実的でなかった長いパスワードの解読も容易になりつつあります。また、ランサムウェアグループがリモートデスクトッププロトコル(RDP)へのブルートフォース攻撃で企業ネットワークに侵入するケースが急増しており、入口としての役割が大きくなっています。
今すぐできる対策:パスワードは大文字・小文字・数字・記号を含む12文字以上に設定する。重要なサービスには必ず多要素認証を設定する。同じパスワードを複数サービスで使わない。パスワードマネージャーを活用してサービスごとに異なる強いパスワードを自動管理する。この四点を実行するだけで、ブルートフォース攻撃のリスクは劇的に下がります。
ブルートフォースアタックの主な種類
| 種類 | 手口 | 対策のポイント |
|---|---|---|
| 総当たり攻撃 | 全組み合わせを順番に試す | パスワードを長く複雑にする |
| 辞書攻撃 | よく使われるパスワードを優先して試す | 「password」「123456」などを使わない |
| 逆総当たり攻撃 | パスワード固定でIDを変えて試す | ログイン試行回数の制限・IP制限 |
典型的なフレーズ・文脈
(自動攻撃ツール起動)RDPポートへの接続開始。パスワード試行:admin→123456→password→qwerty…(毎秒10万回試行)。ヒット。パスワード「admin123」で侵入成功。
リモートデスクトップへの自動ブルートフォース攻撃で、よく使われる単純なパスワードが短時間で突破される状況を示した例です。
セキュリティ専門家は、単純なパスワードはGPUを使った現代の攻撃ツールで数秒で突破されるとして、12文字以上の複雑なパスワードと多要素認証の設定を強く呼びかけています。
ブルートフォース攻撃の脅威を解説する報道番組や、セキュリティ専門家の注意喚起を想定した表現です。
12文字以上のランダムなパスワードと多要素認証の組み合わせが最善策です。パスワードマネージャーを活用すれば管理も楽になります。不審なログインに気づいたら03-5978-7509へ。
IPA担当者が、ブルートフォース攻撃への具体的な対策を助言する場面を想定しています。
困ったときの相談窓口
不正ログインや情報漏洩が疑われる場合は以下に相談できます。
| 窓口名 | 電話番号 | 受付時間 | 対応内容 |
|---|---|---|---|
| IPA安心相談窓口 | 03-5978-7509 | 平日 10:00〜12:00、13:30〜17:00 | 不正アクセス・パスワード破りの相談 |
| 警察相談専用電話 | #9110 | 平日 8:30〜17:15(各都道府県で異なる) | 不正アクセス被害の相談 |
| 消費者ホットライン | 188 | 地域の窓口に準ずる | 不正利用・被害全般の相談 |
【まとめ】3つのポイント
- 正体は全組み合わせの自動試行:理論上どんなパスワードも突破できますが、長く複雑にすれば現実的に不可能な時間がかかります。
- 短いパスワードは数秒で突破:GPUを使った現代の攻撃では、単純なパスワードの解読は秒単位です。
- 長いパスワード+多要素認証が最善策:12文字以上のランダムなパスワードと多要素認証で、ブルートフォース攻撃はほぼ無効化できます。
よくある質問
-
Q何文字以上のパスワードなら安全ですか?
-
A
大文字・小文字・数字・記号を含む12文字以上を目安にしてください。文字の種類と長さが増えると解読時間が指数関数的に増加します。16文字以上のランダムなパスワードであれば、現在の技術では現実的な時間内に突破することはほぼ不可能です。パスワードマネージャーを使えば複雑なパスワードを覚える必要がなくなります。
-
Q不正ログインの通知が来ました。すぐすべきことは?
-
A
まずそのサービスのパスワードを今すぐ変更し、全端末からログアウトしてください。次に多要素認証を有効にし、同じパスワードを使っている他のサービスのパスワードも変更します。クレジットカードや銀行情報を入力したことがあるサービスなら、カード会社・銀行にも連絡してください。不審な決済がないかも確認しましょう。
-
Qブルートフォース攻撃とクレデンシャルスタッフィングの違いは何ですか?
-
A
試行するパスワードの出所が違います。ブルートフォース攻撃はパスワードの全組み合わせや一般的な文字列を試します。クレデンシャルスタッフィングは過去に漏洩した実際のパスワードリストを使います。後者はパスワードの使い回しを前提とした攻撃で、一つのサービスで漏洩したパスワードが他のサービスでも通用するかを試します。どちらも多要素認証と強いパスワードで防げます。
-
Q定期的なパスワード変更は必要ですか?
-
A
NICSの最新ガイドラインでは、複雑で使い回しのないパスワードを設定したうえで、漏洩や不正アクセスの事実がない場合は定期変更は必須ではないとされています。むしろ定期変更を義務化すると単純化・使い回しが起きやすくなります。ただし、漏洩通知を受けた場合や不審なログインが疑われる場合は即時変更が必要です。強いパスワードを最初から設定することが最重要です。
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| クロスサイトスクリプティング | クロスサイトスクリプティング(XSS)とは、Webサイトの脆弱性を突いて不正なスクリプトを埋め込み、そのサイトを閲覧したユーザーのブラウザ上でスクリプトを実行させる攻撃だ。 |
| クレデンシャルスタッフィング | クレデンシャルスタッフィングとは、どこかのサービスから漏洩したIDとパスワードのリストを使い、他のサービスでも同じ組み合わせで不正ログインを試みる攻撃のことだ。 |
| ホエーリング | ホエーリングとは、CEO・CFO・役員など企業の経営幹部だけを狙い撃ちにした、高度にパーソナライズされたフィッシング攻撃のことだ。 |
| ビッシング | ビッシングとは、音声通話を使って警察官・銀行員・公的機関などを名乗り、個人情報や金銭を騙し取るフィッシング詐欺の一種だ。 |
この手口が実際に使われた事件
| 事件 | この記事との関連 |
|---|---|
| ホテル従業員のカード不正利用 | ホテルのインサイダー詐欺とは、 コンシェルジュやフロントスタッフなどの従業員が、業務上アクセスできる顧客のクレジットカード情報を盗み不正利用する 内部犯行である |
| ケビン・ミトニック | ケビン・ミトニックは ソーシャルエンジニアリング (人間の心理を利用した情報窃取)を武器に、DEC、パシフィック・ベル、モトローラ、ノキアなど大企業のシステムに侵入した伝説のハッカーである |
| オレオレ詐欺のリーダー格 | オレオレ詐欺の組織は 主犯格を頂点としたピラミッド構造 で運営される。主犯格は犯罪の実行に直接関わらないため捕まりにくく、暴力団関係者であることも多い |
コメント