使える!情シス三段用語辞典115「リバースブルートフォース攻撃」
常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。
一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明
取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?
この記事の目次
一段目 ITの知識がある人向け「リバースブルートフォース攻撃」の意味
紙面をにぎわせたドコモ口座問題。そこで使われていた技術が「リバースブルートフォース攻撃(reverse brute force attack)」。
果たしてどのようなものなのでしょうか?
ブルートフォースアタック(総当たり攻撃)とは
実は「ブルートフォース攻撃」はコンピュータを使った不正ログインを目的とするアカウント突破手法としては古くから存在していました。
これは1つのIDに対し、パスワードを変えながら総当りでログインを試みるというものです。
例えば、4桁の数字の組み合わせだと、考えられるパスワードは全部で1万通りですが、ブルートフォース攻撃では、特定のIDに合致するパスワードが見つかるまで専用ソフトウェアで片っ端から、パスワード候補を試していきます。
ダイヤル式南京錠のダイヤルを一つずつ回していけば時間はかかるけどいつかは鍵が開くように、処理の早いパソコンを使えばあっという間にIDとパスワードの組み合わせの正解が見つかってしまうのがブルートフォース攻撃。
これに対し、防御策として考え出されたのが「アカウントロック」です。
例えば、Webサービスなどのログインでは、パスワードを10回程度間違えてしまうと、一定時間ロックされログインできない仕様になっています。ネットバンキングを利用する際にCaps Lockのせいでロックされてしまったことなどないでしょうか?
連続してパスワードの入力を誤ったらアカウントをロックすることで、ブルートフォース攻撃による不正なログインを防いでいます。
ドコモ口座問題で注目されたリバースブルートフォース攻撃とは
2020年9月、電子決済サービス「ドコモ口座」で不正引き出し事件が発生しました。
犯罪者が、暗証番号を盗む際に利用した手法のひとつとされるのが「リバースブルートフォース攻撃」です。
リバースブルートフォース攻撃とはどのようなものなのか、ブルートフォース攻撃との違いを含めて説明します。
ブルートフォース攻撃は、1つのIDに対し、パスワードを変えながら総当りでのログインを試みる攻撃ですが、「リバースブルートフォース攻撃」は、逆にパスワードは固定し、IDの方を変えながら総当りでログインを試みます。
パスワードは1つに固定しているので、アカウントロックされることがなく、ログイン試行を延々と続けることができます。逆転の発想とでもいいましょうか、ダークウェブなどから入手した個人情報を組み合わせれれてしまえば、防ぐのは難しいかもしれません。
今回問題となったのは「ドコモ口座」の開設に必要な本人確認が銀行口座の登録のみだったことにあります。故に名前や生年月日などがでたらめでも登録できてしまいます。犯人は被害者になりすましドコモ口座を開設し、リバースブルートフォース攻撃などにより口座情報を不正に取得。犯人が開設したドコモ口座と被害者の銀行口座をひも付け、銀行口座からドコモ口座に金銭を移していたとされています。
リバースブルートフォース攻撃への対策は?
企業または個人でできるリバースブルートフォース攻撃への対策にはどのようなものがあるのでしょうか。
1)二段階認証の導入
IDとパスワードだけでログインする場合、リバースブルートフォース攻撃によりパスワードが破られてしまうと、他には防御がありません。
ID・パスワードに加え、2段階目の認証を追加して「二段階認証」の仕組みを導入することが有効です。二段階認証により仮にパスワードが破られてしまったとしても、不正なログインは防げます。
2)ログイン履歴の確認
ログイン履歴表示機能の活用も不正ログインを防ぐ有効な方法です。例えばMicrosoftのアカウントだと、「最近のアクティビティ」でアカウントへのログイン時間・ブラウザ・OS・アクセスした場所などが確認できます。
ログイン履歴機能を活用したとしても、不正ログインは事前に防げませんが、不正ログインにいち早く気付くことはできます。ログイン履歴で不正ログインに気付いたら、まずパスワードを変更して被害の拡大を防ぐことが大切です。
3)パスワードの変更
パスワードの定期的な変更、また破られにくいパスワードへの変更もリバースブルートフォース攻撃への対策として有効です。
ただし、GPU(Graphics Processing Unit)の高速化が進み、ひとたび攻撃にあえばパスワードを変更してもすぐに新しいパスワードとの組み合わせが解読されてしまいます。それでも、パスワードを定期的に変更する限り、パスワードの悪用期間は短縮することができます。
二段目 ITが苦手な経営者向け
とある食品メーカーでの昼下がり。情シス課長の古戸さんの元へ社長が困り顔でやってきました。
社長:古戸さん、リバースブルート?なんとか攻撃って聞いたことある?新聞でドコモ口座から不正に出金されたという記事をみたんだけど、犯罪者がそのリバースなんとか攻撃を使ったとか?
古戸:ええ。「リバースブルートフォース攻撃」ですね。”リバースブルートフォースアタック”、”逆総当り攻撃”などとも呼ばれるものです。
社長:そう、それそれ!リバースブルートフォース攻撃だった。
古戸:まず、ブルートフォース攻撃というパスワード解読方法がありまして、1つのIDに対し、考えうるあらゆるパスワードを片っ端から試して、IDと合致するパスワードを探す方法です。例えば、”ceo”というIDに対して、”password001” ・”password002”・”password003”・・・と順番に試すという具合です。
社長:おっと、”password0203”は俺のいつも使ってるパスワードだな。まあ俺のは数字を誕生日にしているけどな。ガハハハハ!
古戸:同じことですよ!ですので、パスワードの定期的な変更や破られにくいパスワードを使うことは、ブルートフォース攻撃でもリバースブルートフォース攻撃でも、個人でできる有効な対策のひとつとされています。
社長:そうか。気をつけないといけないな。
古戸:次に、リバースブルートフォース攻撃は、ブルートフォース攻撃とは逆にパスワードの方を固定してIDを変えながら総当りで組み合わせを見破るという方法です。この例だと、”password0203”に対し、”suzuki” ・”shacho” ・”cfo”・”ceo”・・・という具合ですね。
社長:そうか・・。でも、ブルートフォース攻撃に対し、リバース(逆)するメリットがよく分からなないな。
古戸:Webサービスなどでパスワードの入力を何回も間違えると「試行回数を超えました。しばらくたってから再度ログインを試してください」という表示が出ることがありますね。そのアカウントロックは、総当たりでログインを試行するブルートフォース攻撃を防止するための対策でもあります。
社長:ふむふむ。だからリバース(逆)に、パスワードは変えずにIDの方で総当りすれば、アカウントはロックされないということだな。
古戸:そのとおりです。そして、リバースブルートフォース攻撃への対策として有効なのが、二要素認証すなわち、ID・パスワード以外の認証方法も追加するという方法です。
社長:なるほど、そりゃそうだな。壁は1枚より2枚が良いに決まってるね。
三段目 小学生向け
6年2組の30人は、裏山に子どもたちだけで集まれる秘密の隠れ家を作りました。
隠れ家に入るには、自分の名前と自分で決めたパスワードを言ってから入らなくてはいけません。
お隣の6年3組の太郎君があるとき気が付きます。
「2組の奴が考えることなんて全員同じだから、パスワードなんて分かっちゃうぞ。」
太郎君が隠れ家の前で、2組の花子ちゃんの名前を言います。
「名前は花子。パスワードは“ケーキ”」
・・・隠れ家は開けてもらえませんでした。
「あ、駄目だったか。これはどうだ!名前は花子。パスワードは“スイカ”」
・・・あれ、これも駄目か。
「じゃ、次。名前は花子。パスワードは“チョコレート”」
・・・ギギギギギギ・・隠れ家を開けてもらうことができました。
「花子ちゃんはチョコレート好きなの分かってたもんね」と得意げな太郎君。
そこで、2組の皆は考えます。
「また、太郎君が入ってこないように、パスワードを2回間違えたら入れないことにしよう」
考えたパスワードを2回までしか試せないのでは、さすがの太郎君も成功しそうにありません。
次に太郎君が考えたのがこんな方法です。
「名前は幸太。パスワードは“りんご”」
・・・隠れ家は開けてもらえませんでした。
「では、次。名前はマコ。パスワードは“りんご”」
「はい、次。名前はタカオ。パスワードは“りんご”」
「これはどうだ。名前はサヤカ。パスワードは“りんご”」
・・・ギギギギギギ・・隠れ家を開けてもらうことができました。
「パスワードは“りんご”の1つしか使ってないから、何回でも試せるもんね」と得意げな太郎君。
実は同じことがコンピュータの世界でも話題になっています。
いろいろなパスワードを何回も試して、名前とパスワードの組み合わせの正解を探し、その人の代わりに部屋に入る悪い者がいます。
これを総当り攻撃(ブルートフォース攻撃)と言います。
これとは逆に、パスワードは変えずに名前の方を違う人に変えて、名前とパスワードの組み合わせの正解を探すのが、逆総当り攻撃(リバースブルートフォース攻撃)なのです。
さて、皆様のご理解は深まったでしょうか?
【執筆:編集Gp 近藤真理】