セキュリティ担当者が知識として抑えておきたいブルートフォース攻撃とは？具体的な手法と目的・被害事例と対策まで解説！

サイバー攻撃も時代と共に多様化し、企業をセキュリティ攻撃から守ること自体の難易度がどんどん上がっています。企業のセキュリティ担当者は、常に最新のトレンドを知識として学び続けて、新しい脅威に対応する必要があるのです。

 

今回の記事では、「ブルートフォース攻撃」に焦点を当てて、攻撃を受けた場合の影響と被害事例、具体的なセキュリティ対策などを総合的に解説します。

 

ブルートフォース攻撃とは

ブルートフォース攻撃とは、日本語で「総当たり攻撃」と訳されます。

具体的手法として、理論上考えられるパスワードのパターンを全て入力するという単純な仕組みです。

 

例えば数字4桁の暗証番号の場合「0000」〜「9999」までの1万通りを試すことで、確実にロックを解除できます。人間が1つひとつ番号を試すのは時間がかかりますが、プログラムで実行すると手間は掛かりません。

 

ブルートフォース攻撃を受けた場合の影響とは？

ブルートフォース攻撃を受けた場合には、どのような悪影響が生まれるのでしょうか？

具体的なものを以下で紹介します。

 

アカウントのなりすまし

ブルートフォース攻撃を受けて、一部でもログインに成功してしまうと、該当したアカウントが乗っ取られることになります。攻撃者が正規ユーザーになりすましてサービスを利用して、個人情報を閲覧・流出のきっかけとなるのです。

 

さらにシステム管理者のアカウントまで奪われると、システムを乗っ取られ、不正な行為を行う踏み台にされることもあります。Webサービスを運営する企業の信頼が大きく損なわれるでしょう。

 

情報漏洩

前段で少し触れましたが、ブルートフォース攻撃によって不正ログインが行われると、何らかの情報が漏洩する可能性が高いです。一般ユーザーのアカウントの場合、個人情報・サービスの利用履歴が漏洩します。機密データを扱える権限を持つアカウントであるほど、システムの重要データが流出してしまいます。

 

クレジットカードの不正利用

銀行口座・クレジットカードと連携したWebサービスのアカウントが不正にログインされると、直接金銭的な損害が発生します。

 

別アカウントの乗っ取り

ブルートフォース攻撃によって、特定サービスのアカウントが窃取されると、別のサービスのアカウントまでもが乗っ取りの被害に遭います。ID・パスワードを複数のサービスで使い回すケースが多いからです。

 

その結果、ひとつのサイトでログインを許すと複数のWebサービスに立て続けにログインされ、被害が大きくなる傾向がみられます。乗っ取りから前述した「不正アクセス被害」「情報漏洩」に繋がっていきます。

 

ブルートフォース攻撃における具体的な被害事例

次に、国内で発生したブルートフォース攻撃の「被害事例」を2つ紹介します。

 

ブルートフォース攻撃による病院への不正アクセス

2022年2月、国内の大学医学部附属病院にて、ブルートフォース攻撃により、患者416人の個人情報が流出する被害が発生しました。

 

教職員より「(教職員当人の)メールアドレスを用いてスパムメールが送信されている」との報告があり、調査を行ったところ、海外のIPアドレスから大学病院のアカウント3件が、不正アクセスされた可能性があることが判明したのです。

 

被害にあった3つのアカウントはブルートフォース攻撃によってパスワードが解除され、不正アクセスされたことが分かっています。不正アクセスされたメールサーバには、患者184名・講義を受講した医学部学生等140名・共同研究者及び治験関係者34名など、合計416名の個人情報が記録された添付ファイルが存在していました。

 

不正アクセスが判明した当日に、該当の教職員のパソコンをネットワークから遮断し、アンチウィルスソフトでフルスキャンを行った上で、メールアカウントのパスワードを変更する対策を取ったのです。

 

結果として、個人情報悪用の報告はなく、大学病院側が被害関係者に対して、事実関係の説明と謝罪を行った上で、対応窓口の案内を実施しています。

 

某ネット証券会社に不正ログインが発生して、9,864万円被害

2020年にネット証券会社において、顧客6人の証券口座より9,864万円が不正に流出したことが判明しました。

口座開設には偽造した本人確認書類が使われたとされ、「身に覚えのない取引があった」と顧客から通報があり、発覚しました。

 

SBI証券の社内システムへの侵入形跡はなく、過去に流出したID・パスワードでさまざまなログインを試みたとされています。

 

ブルートフォース攻撃に対する具体的なセキュリティ対策とは？

サービス提供を行う側に多大な被害を与える「ブルートフォース攻撃」ですが、具体的にどのようなセキュリティ対策を行うべきでしょうか？

 

以下で解説します。

 

8桁以上のパスワードを設定する

0〜9の数字のみの暗証番号を使うとしても、8桁で設定するとその組み合わせは1億通りに広がります。

これを英字と組み合わせることで、さらに組み合わせ数が増加するのです。

 

まずはパスワードを8桁以上に設定することを心掛けましょう。

 

意味のある単語をパスワードに入れない

辞書攻撃を利用されることを考えると、パスワードは意味のある単語にしないことも必要です。

生年月日・名前を用いることはもちろんのこと、「apple」などの単語、意味がなく見えるがキーボードの配列に沿って設定した「tyuiop」などは多くの方が利用しています。

 

限りなくランダムな文字・数字の組み合わせで強固なセキュリティを維持しましょう。

 

ログイン試行回数に制限を加える

システム側の対策として有効なのがログイン試行回数の制限です。「5回パスワードの入力に失敗したらロックされる」「再びパスワードを入力するには一定時間を要する」という仕組みにすることで、効率的にブルートフォース攻撃をされることはありません。

 

ログインできる端末を制限する

社内システムなど利用者が限られる場合には、ログイン可能な端末を設定することでブルートフォース攻撃を回避できます。ファイアウォールに接続可能なIPアドレスを登録することでも実装可能です。

 

その他、連続・多回数の不審なログイン試行を検知したら、アカウント所有者に確認の上、該当のIPアドレスからのアクセスを拒否する措置を行いましょう。

 

攻撃の特性を知った上で、適切な対策を講じよう！

この記事では、セキュリティ担当者が知識として抑えておくべき「ブルートフォース攻撃」の概要から具体的な被害事例・セキュリティ対策を紹介しました。

 

力づくで突破するイメージが強いですが、プログラム化することで短時間かつ効率的に不正ログインが可能になってしまいます。「どのような攻撃なのか」を知った上で、適切な対策を導入することが求められます。