リバースブルートフォースとは不正ログインを目的とした攻撃手法の一つ。ユーザーがよく設定しがちなパスワードに該当するIDと組み合わせてしらみつぶしに不正ログインを試みる。IDを固定し、パスワード側に攻撃する手法はブルートフォース攻撃と呼ばれるが、リバースブルートフォース攻撃はその「逆（リバース）」の方法を用いることが特徴とされる。

その際に使用されるパスワードは「推測」で指定する場合や、なんらかの方法で入手したパスワードのリストを用いる方法がある。例えば、「1111」や「admin」といった極めて単純なパスワードをログインパスワードとして使用しているユーザーが少なからず存在することがわかっている。

また、特定のサービスで情報漏えいが起きた場合、そこで漏えいしたパスワードが、ダークウェブなどを経由して攻撃者の手に渡る可能性もある。攻撃者はこういった方法で入手したパスワードをログイン画面に入力し、ランダムなIDと組み合わせてログインを試していく。Webサービスの多くは、パスワードを数回間違えるとログイン機能を停止し、再ログインが制限される「アカウントロック機能」を有する場合が多い。しかしリバースブルートフォース攻撃では、パスワードではなくIDを変更していくため、この対策は無力化されてしまうのだ。

2014年に起きた大手航空会社の不正ログイン事件ではリバースブルートフォースが悪用された。同社のWebサイトにはアカウントロック機能が備わっていたものの、パスワードは4桁あるいは6桁のものが使用されており、決して強固なものではなかった。攻撃者はこの状況を逆手にとり、リバースブルートフォース攻撃を仕掛けたとみられ、実際に入力されたユーザーIDには一定の規則性があったことがわかっている。この事例では、不正アクセスにより会員のマイレージがAmazonギフト券やiTunesギフトコードに交換される被害が判明している。

リバースブルートフォース攻撃のリスクを減らすために

この攻撃による被害のリスクを低減するためには、推測されにくいパスワードにすることが一番の対策となる。安易なパスワードを使用する限り、リバースブルートフォース攻撃のリスクからは逃れることができないと考えるべきだろう。また、パスワードの使い回しも複数のサービス間で同時多発的に不正ログインのリスクが高まるため、極力回避しておきたい。二段階認証や生体認証が設定可能であれば、利用するようにしたい。

サービス提供側の対策として、複数の要素を使用した二段階認証や、推測されやすいパスワードに設定することをシステム側で禁じるといった方法がある。また、Webサービスでログインや決済などの操作を行う際に、パスワードだけでなくユーザーに画像の選択や文字入力を求める「CAPTCHA」という仕組みもある。ボットと呼ばれるような、コンピュータープログラムによる攻撃を排除しようとするものだ。