情報セキュリティマネジメント試験 科目A 重要キーワード解説
ブルートフォース攻撃(総当たり攻撃)とは、パスワードや暗号鍵を考えられるすべての組み合わせを片端から試して解読・突破しようとする攻撃です。「brute force(力ずく)」の名のとおり、計算力に任せて総当たりするのが特徴です。
パスワードが短く単純なほど短時間で破られます。逆に、文字種が多く桁数の長いパスワードは組み合わせが膨大になり、解読に現実的でない時間がかかるため、パスワードの長さと複雑さが防御の基本となります。
| 手口 | 内容 |
|---|---|
| ブルートフォース攻撃 | 1つのIDに対し、全パスワードを総当たりで試す。 |
| 辞書攻撃 | よく使われる単語・パスワードのリストを使って効率的に試す。 |
| リバースブルートフォース攻撃 | 1つのパスワードを固定し、IDの方を次々変えて試す。アカウントロックを回避できる。 |
| パスワードリスト攻撃 | 他サービスから流出したID・パスワードの組を試す(使い回しを悪用)。 |
CMSやルータの管理画面に対し、単純な初期パスワードや短いパスワードを総当たり・辞書攻撃で破られ、サイト改ざんやボット化に悪用される事例が後を絶ちません。初期パスワードの変更と複雑化が基本対策です。
「password」などありがちなパスワードを固定し、多数のIDに対して試すリバース型攻撃で、アカウントロックを回避しながら侵入される被害が報告されています。