あらゆるパターンを試行し、パスワードや暗号を解析する攻撃の一種。
ブルートフォース攻撃(英:brute force attack)とは、パスワードや暗号を解読する手法のひとつ。「総当たり攻撃」とも呼ばれる。「brute force」に「力づくで」という意味があるように、あらゆるパターンを試行していくことで、パスワードや暗号を解析する。
たとえば、パスワードが4桁の数字である場合、「0000」から「9999」まで1万回を試すことでパスワードを発見できる。パスワードの試行に時間的な制限や回数に制限がない場合、確実にパスワードを解読できるが、手間がかかるため、手動ではなく専用のソフトウェアを用いて分析したり、攻撃ツールを用いて試行したりことが多い。
また辞書に収録された単語や、ユーザーが用いることが多い単純な文字列などを優先的に組み合わせ、解読に要する時間を短縮する「辞書攻撃」もブルートフォース攻撃の一種である。
機密情報を含むファイルなどパスワードを設定しているデータでも、この攻撃によって解析され、閲覧されてしまうおそれがある。重要なデータがコンピュータに保存さてれている場合、たとえパスワードを設定していても、試行回数に制限がないことが多い。そのため、パスワードに使用する文字種や文字数が少ないと、容易に解析されるおそれがある。
オンラインサービスで利用しているパスワードが窃取されると、利用者本人になりすましてログインされてしまい、データを閲覧されたり、サービスを不正に利用されてしまうおそれがある。
たとえば、FTPの場合、アカウントのパスワードが奪われると、サーバー上のデータを窃取されるおそれがあるのはもちろん、マルウェアなど不正なファイルをアップロードされることもある。また、ウェブサイトのデータをアップロードするために用いているFTPであれば、サイトの改ざんや乗っ取り、フィッシングサイトの設置、マルウェアの配布などに悪用されるおそれがある。
主な対策と注意点
アドウェアへの感染対策
- パスワードで利用する文字数や文字の種類を増やす
- 単語や予想しやすい文字列を避ける
- パスワードの試行回数を制限する
- 多要素認証やワンタイムパスワードなどを併用する
- 何度も試行を繰り返す攻撃であるため、試行回数に制限をかけることで攻撃を防ぐ。ただし、ファイルのパスワードなど制限をかけられない環境もあるので、日ごろから破られにくいパスワードを設定しておくこと。また単語や単語の組み合わせも辞書攻撃の対象となるので注意する。
- システムを提供する場合は、パスワードの入力を一定回数以上は受け付けないよう制限したり、機械的なログインの試行を防ぐために画像認証も併用する、多要素認証システムを導入するなどの方法がある。