ブルートフォースアタック

ブルートフォースアタック（総当たり攻撃）について

ブルートフォースアタック（総当たり攻撃）とは、WebアプリケーションやWebサービスでパスワードを手当たり次第試し、解析する手口を指します。

WebアプリケーションやWebサービスなどに、ユーザ認証をする際にIDとパスワードを使いますよね。本来であれば、パスワードはそのユーザしか知らないものです。

手当たり次第試すという地道な作業ではありますが、あらゆるパターンに挑戦するため確実にパスワードを解読してしまいます。こういった単純な作業であれば簡単にシステムを組むことができるので、攻撃者の多くは解析プログラムを駆使して、ユーザのパスワードを解読します。

では、どの程度の時間をかけてブルートフォースアタック（総当たり攻撃）でパスワードが解読できるのでしょうか。いくつか実験の例をあげてみましょう。

低速PC　　　　　　　：5分間〜8.5時間
高性能PC　　　　　　：30秒
コンピュータクラスター　：３秒
スーパコンピュータ　　　：瞬間

低速PC　　　　　　　：７年〜692年
高性能PC　　　　　　：253日
コンピュータクラスター：25.25日
スーパーコンピュータ：60.5時間

低速PC　　　　　　　：229年〜2万2875年
高性能PC　　　　　　：23年
コンピュータクラスター：2.25年
スーパーコンピュータ　：83.5日

パスワードが複雑であればあるほど、解読される時間が長いですね。この実験は2009年に行われたものです。PCの性能や技術力も向上しているので現時点ではもっと早く解読できると思われます。

ここで、安易なパスワードランキングのレポートを見てみましょう。

———————————-

１位　123456
２位　123456789
３位　qwerty
４位　12345678
５位　111111

———————————-

驚くことに、調査対象全体の約17%が“123456”というパスワードを使っていたのです。中には”password”やキーボードの配列といったものもあり、非常に安易なパスワードを設定していることがわかります。これでは先述した時間などかけずに、一瞬で解読されてしまいますね。

では、ブルートフォースアタック（総当たり攻撃）への対策はどうすれば良いのでしょうか。

パスワードの桁数を増やしましょう。より長く、より複雑な組み合わせにしてください。記号も入れることができればさらにパスワードの強度は増します。定期的に長く難しいパスワードに変更することも良い対策方法です。

WebアプリケーションやWebサービスを開発・提供している側は、許容するパスワードのルール（長さ＋文字種＋複雑さ）や、一定期間経つとパスワード変更を促す設定、パスワードを連続して失敗した場合は設定した回数以上はアカウントをロックする設定を行いましょう。

また、アプリケーションなどに独自に認証機能を実装している場合も、上と同等レベルのパスワードルールとロック機能は搭載すべきです。

ブルートフォースアタックについて、ご理解いただけましたか？
今回の記事を元にパスワードの設定を見直してみてはいかがでしょうか。
自分の情報をきちんと守るために、対策をしっかりとしてください！

イニシャルコスト、運用コストを抑えることができ、簡単にWebサイトのセキュリティ対策が出来るクラウド型WAFは、企業にとって有効なセキュリティ対策の１つです。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

（2017/6/2 執筆、2020/3/8修正・加筆）