ブルートフォースアタック―攻撃の対策。

トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ 情報セキュリティとは 攻撃手法 サイバー攻撃の種類 ブルートフォースアタック

ブルートフォースアタック（Brute-force attack）は、与えられた1組の平文と暗号文に対し、総当たりで鍵を割り出す、 あるいは使用可能な文字のあらゆる組合せをそれぞれパスワードとして、繰り返しログインを試みる攻撃です。対策方法などブルートフォースアタックについてまとめています。

▲記事トップへ

目次

この記事の目次です。

1. ブルートフォースアタックとは
2. ブルートフォースアタックの対策
3. リバースブルートフォースアタックとは

ブルートフォースアタックに関連したIPA情報処理試験の過去問題
もっと知識を広げるための参考
更新履歴

1. ブルートフォースアタックとは

ブルートフォースアタック（Brute-force attack）は、与えられた1組の平文と暗号文に対し、総当たりで鍵を割り出す、 あるいは使用可能な文字のあらゆる組合せをそれぞれパスワードとして、繰り返しログインを試みる攻撃です。

オフラインで用いられる

オンラインの場合それほど多くのパターンを試すことができないため、通常はオフラインで用いられます。

最大試行回数の計算例

パスワードの文字の種類をn、文字数をxとするとパスワードの文字列のパターンはnのx乗となります。

たとえば、“A”から“Z”の26種類の文字が使用できるパスワードの場合、4文字の場合26の4乗が最大の試行回数になります。 また文字数を4文字から6文字に増やすと、総当たり攻撃でパスワードを解読するための最大の試行回数は、 26の4乗から26の6乗に増え、26の2乗倍（26×26＝676倍）にパターンが増えます。

2. ブルートフォースアタックの対策

ブルートフォースアタック（Brute-force attack）の対策は、 パスワードクラックへの対策と同じで以下のような対策（予防、防止）が挙げられます。

• ワンタイムパスワード方式、バイオメトリック認証など、パスワードクラックが困難なシステムにする
• 固定式のパスワードを使用する場合は、アカウントのロックアウト設定を有効にする。
• 既知のセキュリティホールに対処し、アクセス権の設定を見直すなどして、パスワードファイル、データベースが盗まれないようにする
• 推測困難なパスワードを設定し、定期的に変更する
• パスワードからハッシュ値を求める際にソルトを使用する
• ツールなどを用いて脆弱なパスワードをチェックし、修正する
• ログインの失敗がログに記録されるようにする

3. リバースブルートフォースアタックとは

リバースブルートフォースアタックとは、ユーザIDを固定して何通りものパスワードの組み合わせを試行するブルートフォースアタックに対し、 パスワードを固定して何通りものユーザIDの組み合わせを試行する攻撃のことをいいます。

ブルートフォースアタックに関連したIPA情報処理試験の過去問題

以下ではブルートフォースアタックに関連したIPA情報処理試験の過去問とその解説をまとめています。

• 令和元年秋 問80 総当たり攻撃―ITパスポート
• 平成30年春 問27 ブルートフォース攻撃―情報セキュリティマネジメント試験 午前
• 平成30年秋 問42 ブルートフォース攻撃―応用情報技術者 午前
• 平成30年秋 問14 ブルートフォース攻撃―情報処理試験（高度共通）

もっと知識を広げるための参考

• 攻撃手法

  情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策方法についてまとめています。

• 情報セキュリティ

  情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

• テクノロジ系

  情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

更新履歴

• 2020/12/11 最大試行回数の計算例について追記しました。
• 2019/1/21 記事をUPしました。

戻る