ブルートフォース攻撃

「ブルートフォース攻撃」とは、システムへ不正にアクセスするため、パスワードや暗号鍵などの候補を試行するサイバー攻撃のことです。コンピューターの計算能力を利用して無数の可能性を試すものであり、正しい組み合わせが見つかるまでログイン試行が続けられます。多数のパスワードや暗号鍵を総当たりで試すものであることから、「総当たり攻撃」とも呼ばれています。

ブルートフォース攻撃には、以下に挙げるようにいくつかの種類が存在します。

• シンプルなブルートフォース攻撃：考え得るすべてのパスワードや暗号鍵を試すもの。
• 辞書攻撃：よく使われるパスワードや辞書に登録されている言葉などで構成された「パスワード候補リスト」を使ってログインを試行する攻撃。
• ハイブリッド型ブルートフォース攻撃：辞書攻撃用のリストに、数字や記号などの文字を追加して成功率を高めようとする攻撃。
• リバースブルートフォース攻撃：すでに知られているパスワード1件（例：「password」「12345」など）に対して、IDを変更しながらログインを試行する攻撃。

また、関連する認証情報関連の攻撃には、「クレデンシャルスタッフィング」というものもあります。

• クレデンシャルスタッフィング：すでに漏洩している認証情報（ユーザー名とパスワードのセット）を使い、複数の異なるシステムへのログインを試行する攻撃。同じIDやパスワードを使いまわすユーザーが多い事実を突いた手法。

ブルートフォース攻撃の多くは、スクリプトやツール（HydraやJohn the Ripper等）を使って自動で行われています。ツール類を使えば毎秒数千件超ものパスワードを生成・テストできるため、シンプルながらも効果的な手法です。また、高度なスキルや標的組織に関する内部情報がなくとも最低限の技術的知識があれば実施できることから、組織にとってはごく一般的な脅威となっています。