ブルートフォース攻撃

ブルートフォース攻撃 とは †

名称 †

• 総当たり攻撃

概要 †

• パスワードクラックの攻撃手法の一つ。
• ユーザーIDを固定してパスワードを総当たりでログインを試行する。
• 英数字等の全ての組み合わせでログインを試行するなど。

攻撃対象 †

• パスワード
• PIN（暗証番号）
• ハッシュ

ブルートフォース攻撃の対策 †

ユーザ側 †

• パスワード
  • 単純な文字列を使わない。（英数記号のランダムな組み合わせ）
  • 文字列を長くする。

サーバ側 †

• リスクベース認証を行う
• 短時間で同一IPアドレスからの異なるユーザーに対する認証要求を検知してブロックする

ブルートフォース攻撃の一種 †

リバースブルートフォース攻撃 †

• パスワードを固定して、ユーザーIDを総当たりでログインを試行する攻撃手法

パスワードスプレー攻撃 †

• low-and-slow攻撃
• アカウントロックを回避する方法で総当たりする攻撃手法
  • 攻撃の時刻と攻撃元IPアドレスとを変えることでアカウントロックの回避を試みる
• 何パターンかのパスワードで、複数のIDに攻撃する。
• 漏洩したID/パスワードから脆弱性のあるパスワードを設定しているIDが攻撃対象として狙われやすい。

対策 †

• 2要素認証
• リスクベース認証

関連サイト †

• 「パスワードスプレー」攻撃に警戒を--日米で注意喚起 (2018.4.4)
  • https://japan.zdnet.com/article/35117214/

関連用語 †

• セキュリティ
• 不正アクセス
• リスト型攻撃
• レインボーテーブル
• リスクベース認証
• Hydra
• PBKDF
• gobuster