ブルートフォース攻撃 は、パスワードや認証コードなどを総当たりで試し、正しい組み合わせを見つけようとする攻撃です。
ログイン画面、管理画面、SSH、APIキー、PINコードなど、認証がある場所で問題になります。
まず押さえたいポイント
- 短いパスワードや単純なパスワードほど破られやすい
- ログイン試行を無制限に受け付けると危険
- MFA、レート制限、ロックアウトが基本対策
- 漏えい済みパスワードを別サービスで試す攻撃にも注意する
- 管理画面やSSHは特に監視が必要
どんな場面で出てくる?
Webサービスのログイン画面、WordPressなどの管理画面、VPN、メール、SSH、RDP、クラウド管理コンソールなどで出てきます。
攻撃者は、よく使われるパスワードの辞書、漏えいしたIDとパスワードのリスト、自動化ツールを使って試行を繰り返します。
完全な総当たりだけでなく、パスワードスプレーと呼ばれる攻撃もあります。
これは、少数のよくあるパスワードを多数のアカウントに試す方法です。アカウントロックを避けながら広く試すため、企業アカウントでは特に注意が必要です。
よくある誤解
「パスワードを複雑にすれば十分」と考えるのは危険です。
もちろん長く推測されにくいパスワードは重要ですが、使い回しやフィッシングで漏れた場合、複雑さだけでは守れません。
また、ログイン失敗が少し増えているだけだから大丈夫、と見落とすのも危険です。
攻撃者はゆっくり試すこともあります。失敗回数、IP、国、時間帯、ユーザーエージェント、成功直後の操作を合わせて見る必要があります。
実務で見るポイント
ブルートフォース攻撃を防ぐには、MFAを入れる、一定回数の失敗で制限する、ログイン試行にレート制限を入れる、管理画面を不要に公開しない、強いパスワードポリシーを使う、といった対策を組み合わせます。
ログイン成功だけでなく失敗ログも残し、異常な試行が増えたときに気づける状態にします。
初心者はまず、「ログイン画面は攻撃される前提」「パスワードだけに頼らない」「試行回数を制限する」と覚えるとよいです。
管理者アカウント、メール、クラウド、サーバーは特に優先して守る対象です。