情報処理技術者試験の過去問から、「リバースブルートフォース攻撃」と「ブルートフォース攻撃」を紹介します。
情報セキュリティスペシャリスト平成21年秋期試験より
問題:ブルートフォース攻撃に該当するものはどれか。
ア.可能性のある文字のあらゆる組合せのパスワードでログインを試みる。
イ.コンピュータへのキー入力をすべて記録して外部に送信する。
ウ.盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。
エ.認証が終了し,セッションを開始しているブラウザとWebサーバ間の通信で,クッキーなどのセッション情報を盗む。
正解
ア.可能性のある文字のあらゆる組合せのパスワードでログインを試みる。
解説
ブルートフォース攻撃は、パスワードクラックに用いられる手法の1つで、特定の文字数および文字種で設定される可能性のあるすべての組合せを試すことで不正ログインを試みる攻撃手法(総当たり攻撃)です。
パスワード長が短く、使用可能な文字種が少ない場合には、この手法によって破られる可能性が高くなってしまいます。
情報セキュリティマネジメント令和元年秋期試験より
問題:リバースブルートフォース攻撃に該当するものはどれか。
ア.攻撃者が何らかの方法で事前に入手した利用者IDとパスワードの組みのリストを使用して,ログインを試行する。
イ.パスワードを一つ選び,利用者IDとして次々に文字列を用意して総当たりにログインを試行する。
ウ.利用者ID,及びその利用者IDと同一の文字列であるパスワードの組みを次々に生成してログインを試行する。
エ.利用者IDを一つ選び,パスワードとして次々に文字列を用意して総当たりにログインを試行する。
正解
イ.パスワードを一つ選び,利用者IDとして次々に文字列を用意して総当たりにログインを試行する。
解説
リバースブルートフォース攻撃は、ブルートフォース攻撃が攻撃対象IDを固定してパスワードを総当たりで試すのは逆に、パスワードを1つに固定し、利用者IDを総当りで試していくことで不正ログインを試みるパスワードクラック手法です。
設定できるパスワード種が数字4桁などのように非常に少ないシステムに対しては、通常のブルートフォースよりも効率的に認証を突破できます。
よく使用される安易なパスワード(1234・qwer・adminなど)を使用していると、この攻撃の被害を受けやすくなります。
また、様々な利用者IDを次々と試すので、一般的なアカウントロックの仕組みでは防御しにくいという性質を持ちます。
ブルートフォース攻撃とリバースブルートフォース攻撃の違い
ブルートフォース攻撃とリバースブルートフォース攻撃の違いについて整理してみた。
| ブルートフォース攻撃 | リバースブルートフォース攻撃 | |
| 総当たりする文字列 | パスワード | ID |
| 攻撃対象 | 特定のID | ログインできれば誰でもいい |
| 対策の難易度 | 容易 | 困難 |
複雑なパスワードを設定する
このようなコンピューターネットワークにおける安全上の欠陥を突いた被害にあったりするおそれがあることを認識しておくことは重要で、万一そうなったときのことを考えて、情報セキュリティ対策を講じておく必要は当然ある。
しかし、私たちのようなシステム利用者ができることは限られているが、複雑なパスワードを設定することは有効な対策だ。
複雑なパスワードとは、具体的には以下のような条件を持つパスワードである。
- 桁数が多い(8桁以上)
- アルファベットの大文字小文字が含まれている
- 記号が含まれている
パスワードを設定する時は、上記条件をすべて満たす文字列を設定することが重要である。
従来から使われている数字4桁の暗証番号だけでは危険
暗証番号だけでは守りきれないので、今後さらに、多要素認証や二段階認証の実装が進んでいくことが予想される。