根性で不正ログインを頑張るブルートフォース攻撃
前回の勉強内容
勉強のきっかけになった問題
共通鍵暗号の鍵を見つけ出す,ブルートフォース攻撃に該当するものはどれか。
- 1組の平文と暗号文が与えられたとき,全ての鍵候補を一つずつ試して鍵を見つけ出す。
- 平文と暗号文と鍵の関係を代数式に表して数学的に鍵を見つけ出す。
- 平文の一部分の情報と暗号文の一部分の情報との間の統計的相関を手掛かりに鍵を見つけ出す。
- 平文を一定量変化させたときの暗号文の変化から鍵を見つけ出す。
不正アクセスや不正ログインする攻撃はよくあります。
攻撃 | 手法 |
---|---|
ブルートフォース攻撃 | パスワードをどんどん変えて正解を探す |
リバースブルートフォース攻撃 | IDをどんどん変えて正解を探す |
パスワードリスト攻撃 | ヒントを仕入れてIDとパスワードを推測して正解を探す |
パスワードスプレー攻撃 | IDとパスワードをどんどん変えて正解を探す |
ブルートフォース攻撃は、ありとあらゆる文字列の組み合わせを片っ端から試してパスワードや鍵を見つける攻撃です。
- 別名:ブルートフォースアタック、総当たり攻撃
- 英語 : (brute force:力ずくの) + (attack: 攻撃)
辞書ツールやら考えられるすべての情報を使って文字列の組み合わせを全て試していく、根性の攻撃です。
パスワードの文字数や文字種が少ないと被害にあいやすいです。
独立行政法人情報処理推進機構セキュリティセンターが、パスワードに使用している文字の種類別に解読の所要時間をまとめたもの
ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策
リバースブルートフォース攻撃は、ありとあらゆる文字列の組み合わせを片っ端から試してIDを見つける攻撃です。
- 別名:リバースブルートフォースアタック、逆総当たり攻撃
- 英語 : (reverse:逆の) + (brute force:力ずくの) + (attack: 攻撃)
世の中には、規定回数パスワードを間違えるとロックされるアカウントロックというものがあります。
残念なことに、IDを変えていくのでアカウントロックされにくいです。
ブルートフォース攻撃の逆で、パスワードに固定文字列を使ってIDを変えながら試していきます。
パスワードリスト攻撃は、どっかで仕入れた情報をもとにIDとパスワードを推測して攻撃します。
- 別名:リスト型攻撃、パスワードリスト型攻撃、アカウントリスト攻撃、リストベース攻撃、リストベースアタック、リストアタック
いろんなサイトで同じようなIDやパスワードを使っていると被害にあいやすいです。
パスワードスプレー攻撃は、ブルートフォース攻撃とリバースブルートフォース攻撃をいい感じに合わせています。
- 別名:low-and-slow攻撃
決まった期間に決まった回数ログインに失敗するとアカウントロックがかかります。
だから、「パスワードを固定していろんなIDを試す」をひたすら繰り返します。
アカウントロックされたら別のIDでまた試します。
ついでに、不正を検知されないようにIPアドレスを変えたり、時間をずらして実行したりします。