ブルートフォースアタック対策などのWebセキュリティを意識する場合、どのような対策が必要か学ぶ姿勢が必要となります。
IDとパスワードによる個人識別や、ユーザー管理をする上で、ブルートフォースアタックの知識を持ち、しっかりと対策をすることは必須と言えますね。
今回はブルートフォースアタックについて、そしてどう対策すべきかについて説明します。
ブルートフォースアタックとはwebアプリケーションやサービス、システムに対してパスワードの総当たり攻撃して暗号を解析し、不正にログインすることを意味します。
設定が数字のみの4桁だとすれば1万通りのパスワードが存在し、全てのパスワードを試すことで確実にログインすることが可能となるということです。
銀行やコンビニのATMなどを利用する際に、3回以上暗証番号の入力を間違えればカードの利用が停止されてしまうように、回数による制限などが設定されているものもあれば、一度間違えると一定時間利用不可という形で時間による制限をしているものもあります。
ブルートフォースアタックへの対策をしない場合、webアプリケーションやサービス、システムが乗っ取られてしまうだけでなく、サーバー内に存在するデータの抜き取り、情報漏えいの恐れも発生します。
ブルートフォースアタックの種類は大きく分けて2つあり、文字通り総当たりで全ての組み合わせでログイン試行する場合と、辞書攻撃と呼ばれるパスワードに設定されやすいキーワード郡を元にログイン試行をする場合があります。
ブルートフォースアタックの代表的な攻撃手段であり、全ての組み合わせを試行することで不正ログインする方法です。
実際にIDやパスワード、暗証番号を利用したサービスを使っている場合、例え短くても総当たりなんて不可能じゃない?と考えてしまう場合もあるでしょう。
ブルートフォースアタックは人力でログイン試行をするのではなく、システム的に攻撃するものであり、実際にはほぼ全自動で暗証番号やパスワードの解析をし、不正ログインを可能にします。
もちろん、大手企業や銀行、公的機関であれば単純なブルートフォースアタックへの対策がされている場合も多いですが、個人的なサービス、webアプリケーションであれば、セキュリティ対策が不完全な場合もありますし、そもそもブルートフォースアタックの対策を講じていない場合もあります。
ITのリテラシーを持っている方であれば信じられないかもしれませんが、システム上、安易で推測されやすいパスワードが設定できない場合を除けば、passwordやpass1234のように、安易なパスワードを設定する方も少なくないので、キーワード郡を網羅した辞書攻撃も成り立つのです。
ブルートフォースアタックの中には総当たりと辞書攻撃を組み合わせたり、時間制限や回数制限などを考慮された攻撃なども含めて「IDやパスワードによるログイン」を狙った攻撃は現在でも増えつつあるのが現状であり、セキュリティを管理する場合は常に新しい情報を取り入れる必要があります。
通常のブルートフォースアタックはIDを固定にし、パスワードをランダムに試行しますが、リバースブルートフォースアタックはパスワードは固定にして、IDをランダムに試行する方法の攻撃です。
総当たり攻撃や辞書攻撃、回数や時間制限などブルートフォースアタック対策を行っていない場合、アカウントやシステムを管理する権限を持つユーザーが乗っ取られてしまい、webアプリケーション、システムやサービスが悪意のある第三者に自由にされてしまう可能性があります。
例えば、SNSのアカウントを乗っ取られたと想定します。
あなた自身のアカウントで悪意のある発言や情報を発信することで、あなたに対する信頼感や損なわれる可能性があります。
また、爆破予告や殺害予告などをされてしまえば、あなたが公的な機関から取り調べを受けることになるかもしれません。
もちろん、乗っ取られた際に普段利用するIPアドレスは別の場所からのアクセスであれば、罪に問われることはありません。
しかし、SNSのアカウントではなくあなたのパソコンやスマートフォンが乗っ取られたとすれば、意図しない冤罪を生んでしまう可能性も十分に考えられます。
乗っ取られたアカウントが、クレジットカードや銀行のサービスを利用するものだった場合、直接的に被害が及ぶ可能性もあります。
企業や公式なページやサービス、システムが乗っ取られた場合も同様であり、顧客情報や商品、サービスの情報などを抜き取られたり、システムを悪用されることもあれば、ホームページなどを改ざんされてしまう恐れもあります。
前述したように顧客情報や商品、サービスの情報を抜き取られたり、ページの改ざんをされるだけでなくデータを改ざんされる場合も考えられます。
データを改ざんされるといことは金銭的な被害を受ける可能性があるだけでなく、企業やサービスに対する信頼を損ねる可能性が非常に大きいです。
ブルートフォースアタックへの対策を怠っている企業や公式なページ、サービスはそう多くはないですが、サービスを提供する側だけでなく、サービスを受ける側・ユーザーとしてもwebセキュリティ対策が成されているのかを意識することも大切です。
ブルートフォースアタックへの対策についてはサービスを提供する側、すなわちシステム側とサービスを受ける側の両面から考える必要があります。
また、現在では最新の状態だったとしても、ブルートフォースアタック対策そのものが脆弱性に変わる可能性も頭の片隅にいれておかなくてはいけません。
どのような対策があるのかいくつか見てみましょう。
暗証番号などに用いられる数字4桁のパスワードが1万通りであり、英数字を組み合わせた4桁に変更するだけで167万9616に増えます。
一般的なパスワード設定の英数字6桁から8桁だとすれば21億7678万2336~2兆8211億0990万7456となり、ブルートフォースアタックによる試行回数が確実に増えることになります。
英字の大文字と小文字や記号を組み合わせることもおすすめです。
ただし、使用できる文字列や桁数を増やすことで複雑にするとユーザーの利便性が若干損なわれることになり、パスワードの再設定などで安易なものに変更してしまう可能性も無いとは言えません。
後述する試行回数による制限、一定時間内の試行回数による制限と合わせて環境を考えることが大切です。
クレジットカードのセキュリティーコードや、メール形式でのワンタイムパスワード、二段階認証などのように、IDとパスワードに加えてもう一つパスワードを付け足す方法です。
二段階の認証に対応したブルートフォースアタックが無いとは言い切れませんが、こちらも後述する不自然なアクセスに対するアラートや制限によって、より効果を発揮します。
ブログラムなどを用いて機械的にブルートフォースアタックをする場合、試行回数内にパスワードが合致しない場合に利用を制限したり、パスワードを無効にしたりします。
また、人力とは思えない時間でのログイン試行に対しても制限をかけることで、ブルートフォースアタック自体を防ぐ手段の一つにもなりえます。
前述した対策に加えて、不自然なアクセスを感知した時に自動で利用の制限をするだけでなく、不自然なアクセスがあったことを通知したり、管理者に対してアラートが発信される機能も有効です。
国内のwebサービスであれば海外からのアクセスを遮断したり、場合によってはIPアドレスが普段と違う場合でもアラートが出るとより効果的です。
ブルートフォースアタックについて、また対策についていくつかご説明しました。
今回説明したものはあくまでも代表的なものであり、リアルタイムで増えることを考えると全てを網羅したものではありません。
webセキュリティを意識し、管理する時に必要なのは過去の対策から学ぶだけでなく、未来に起こりうることも想像すること。
また、最新の情報に耳を傾け、例えばニュースで個人情報の漏洩や、脆弱性に関する話題については、柔軟に受け止め、知識として受けいられるようにすることも大切です。
今回ご説明した「ブルートフォースアタック」や脆弱性を未然に防ぐ方法として、WAFがあります。
WAFはWebアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護します。不正アクセスの代表的な攻撃を未然に防ぐことができるWebセキュリティサービスです。
クラウド型WAFも選択肢が多いですが、導入しやすいものとしておすすめするものに「攻撃遮断くん」があります。
クラウド型WAF「攻撃遮断くん」は、導入作業が簡単で、最短翌営業日から導入可能です。最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してはいかがでしょうか。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
(2018/5/17執筆、2019/9/14修正・加筆)
この記事と一緒に読まれています
2020.03.08
用語集
2021.07.06
セキュリティ対策
2019.04.08
セキュリティ対策
2020.04.21
セキュリティ対策
サイバー攻撃可視化ツールおすすめ6選!ツールを提供しているプロの目線でご紹介
2022.01.21
セキュリティ対策
2020.02.19
セキュリティ対策
2019.09.12
セキュリティ対策