ブルートフォース攻撃とは?アカウントを守るための対策
ブルートフォース攻撃とは、パスワードを繰り返し推測してアカウント侵害を試みるサイバー攻撃です
脆弱なパスワードやパスワードの使い回し利用は、アカウントが侵害されやすくなります
攻撃者は自動化ツールを悪用して、短時間で大量のログインを試みます
強力なパスワード、多要素認証(MFA)、およびログインアラートを活用することで、リスクを軽減できます
ブルートフォース攻撃とは?
ブルートフォース攻撃とは、正しいパスワードが見つかるまでログインを繰り返し試行するサイバー攻撃です。攻撃者は、ランダムなパスワードパターン、よく使われるパスワード、流出したパスワード、あるいは名前、誕生日、単純なキーボードの配列など、様々なパスワードのバリエーションを推測します。
メール、銀行、ソーシャルメディア、クラウドストレージ、社内アカウント、その他パスワードで保護されたほぼすべてのアカウントが標的となり得ます。ブルートフォース攻撃はクレデンシャルスタッフィングと非常に似ていますが、同じではありません。ブルートフォース攻撃は、考えられるパスワードを推測してログイン試行するのに対して、クレデンシャルスタッフィングは、あるサイトのデータ侵害で流出したユーザー名とパスワードを悪用して、別サイトでもログイン試行する手法です。
総当たり攻撃
攻撃者は、アカウントに対して考えられるあらゆるパスワードの組み合わせを試します。強固なパスワードであればこれを防ぐことは可能ですが、短かったり分かりやすいパスワードであれば、推測される恐れがあります。
辞書攻撃
攻撃者は、ランダムな文字列を試すのではなく、よく使われるパスワード、名前、フレーズ、および予測可能なバリエーションのリスト(辞書)を試します。単純なパスワードを設定していると、破られる可能性が高まります。
クレデンシャルスタッフィング
攻撃者は、過去のデータ漏洩事件などで流出した、あるいはフィッシング攻撃 によって盗まれたユーザー名とパスワードを悪用して、他のサイトのアカウントでもログインを試行する攻撃です。複数のアカウントで同じパスワードを使い回していると、突破されてしまいます。
パスワードスプレー攻撃
一つまたは少数のよく使われるパスワードを大量のアカウントに対して試行する攻撃です。これにより、攻撃者は単一のアカウントで試行回数が多すぎてロックアウトされるのを回避します。
ブルートフォース攻撃の仕組みとは?
大半のブルートフォース攻撃は、考えられるパスワードをログインページで総当たりで試行して、パスワードを破るというシンプルな仕組みです。攻撃者は手作業ではなく、自動化ツールを悪用して推測・入力するため、高速なログイン試行が可能です。
01
標的の選定
攻撃者は、アカウント、ログインページ、社内ポータル、またはユーザー名のリストを選定します。メールアドレスが公開されていたり、従業員のユーザー名が外部に漏洩している場合、標的になりやすくなります。
02
推測リストの作成
攻撃者は、よく使われる単語リスト、漏洩データ、個人情報、季節、年号、名前、単純な数字の並べ替えといった予測可能なパターンから、考えられるパスワードを収集します。
03
ログインの試行
自動化ツールを悪用して、推測されるパスワードを大量に試します。高速で実行される攻撃もあれば、ロックアウトやセキュリティ警告を回避するため意図的に速度を落として実行するものもあります。
04
パスワードの突破
パスワードが当たった場合、攻撃者は多要素認証(MFA)が有効かどうかを確認したり、ログイン情報の保存や、連携アカウントや機密データを狙う可能性があります。
05
アカウントの乗っ取り
攻撃者は、パスワードのリセット、個人ファイルの窃取、詐欺メールの送信、連携アカウントへのアクセス、あるいはアカウントを悪用して他のアカウント、ユーザー、システムへ侵害を試みる恐れがあります。
ブルートフォース攻撃の過去の事例とは?
ブルートフォース攻撃が標的とするのは、大企業や高度な技術システムだけではありません。多くの攻撃者は、脆弱なパスワード、ログインの使い回し、あるいは漏洩しているログイン情報をそのままにしているアカウントを狙っており、ビジネスアカウントのみならず個人のアカウントも標的対象としています。
Rokuアカウントの侵害 — 2024年
Rokuは、2件のクレデンシャルスタッフィング攻撃で59万件以上の顧客アカウントに被害があった旨を公表しました。攻撃者は、過去の侵害事件から流出したユーザー名とパスワードを悪用して、Rokuでパスワードを使い回していたユーザーのアカウントに侵入しました。ユーザーが侵害に気づかぬ間に複数のアカウントで不正購入が検出され、パスワードのリセットが促されました。
23andMeへのクレデンシャルスタッフィング攻撃 — 2023年
過去に侵害されたサイトから流出したパスワードを悪用して、23andMe(遺伝子検査サービス)にクレデンシャルスタッフィング攻撃が仕掛けられ、顧客のアカウントが侵害された事件です。これにより「DNA親族検索(DNA Relatives)」の機能を介して共有された顧客の機密データが流出しました。過去に侵害されたアカウントのパスワードを使い回していると、将来的に別のアカウントでも機密データが漏洩するリスクが浮き彫りとなった事例です。
Microsoftへのパスワードスプレー攻撃 — 2024年
脅威グループ「Midnight Blizzard」は、Microsoft社の社内アカウントを標的としてパスワードスプレー攻撃を仕掛け、脆弱なパスワードや使い回しパスワードを試行しました。この事例により、攻撃者が自動化と予測可能なパスワードを駆使して、アカウントロックを回避しつつアクセス権を取得できる危険性が明らかとなりました。
ブルートフォース攻撃のリスクと被害とは?
ブルートフォース攻撃の最大のリスクは、アカウントへの不正アクセスです。アカウントにメール、決済情報、業務ファイルなどが保存されていたり、その他のサービスに連携されている場合、攻撃者に一度侵入されると被害が急速に拡大する恐れがあります。
アカウント乗っ取り
攻撃者は、パスワードの変更や新たな復旧方法の追加、アカウントのロックアウト、またはアカウントを悪用して、その他の機密アカウントにも不正アクセスする可能性があります。
個人情報の流出
侵害されたアカウント内のメッセージ、ドキュメント、写真、請求書、登録住所、および支払い情報などが流出する恐れがあります。
金銭詐欺
侵害されたアカウントは、不正購入や振替送金に悪用されたり、銀行口座へのロックアウト、またはアカウントに登録されている知り合いなどの連絡先に詐欺メールが送信される恐れがあります。
他アカウントへの攻撃
複数のアカウントで同じパスワードを使い回している場合、1つのアカウントがログインされると、メール、クラウドストレージ、ショッピング、業務アカウントなど、他アカウントにも攻撃が拡散する恐れがあります。
ブルートフォース攻撃の標的 になりやすいユーザーは?
誰でも標的になり得ますが、ログイン習慣やアカウント設定状況によっては、ブルートフォース攻撃の対象となる確率が高まります。
パスワードを使い回しているユーザー
メール、銀行、オンラインショッピング、SNSなどのアカウントで同じパスワードを使い回していると、一つのアカウントのパスワードが漏洩または推測された場合、被害が複数アカウントに及ぶ恐れがあります。
脆弱なパスワードを設定しているユーザー
短いパスワード、ペットの名前、誕生日、スポーツのチーム名、キーボードの配列、単純な数字の並びを使っているパスワードは、攻撃者に推測されやすくなります。
小規模事業
厳重なログイン監視や多要素認証(MFA)システムを導入するリソース不足の小規模事業などは、共有アカウントを使用していたり、パスワードの使いまわし、あるいは初回ログインに脆弱なパスワードを設定していると、攻撃の標的になりやすくなります。
リモートワーカー
社外から社内ツール、メール、クラウドアプリにログインする従業員は、多要素認証(MFA)が有効になっていない場合、アカウントが危険にさらされるリスクが高まります。
ブルートフォース攻撃から 身を守るには?
最善策は、推測するのが困難なパスワードを設定することと、万が一パスワードが漏洩した場合に備えて、被害を最小限に抑える対策を行うことです。これらは直ぐに取り入れられる習慣であり、リスクを大幅に低減できます。
固有のパスワードを設定する
各アカウントごとに、それぞれ異なる強力なパスワードを設定してください。パスワードマネージャーを利用すれば、長いパスワードを暗記する手間なく、厳重に保管・管理ができます。
多要素認証(MFA)を有効にする
多要素認証(MFA)は、パスワード入力後に追加の認証ステップを設定できます。これにより、たとえパスワードが推測されたり盗まれたりした場合でも、アカウント乗っ取りを防ぐことが可能です。
推測されやすいパスワードは避ける
名前、誕生日、季節、スポーツのチームの名前、旧パスワードとほとんど変わらないパスワードの設定などは避けてください。攻撃者は、このような推測されやすいパスワードでログインを試行する傾向があります。
ログイン通知に警戒する
見覚えのないログイン通知メール、パスワードリセットの通知メッセージ、多要素認証(MFA)の要求、または位置情報に関する警告があった場合には警戒しましょう。これらは、不正アクセスの試行があった警告サインである恐れがあります。
Macを保護する
macOSやブラウザは常に最新の状態に保ち、不審なソースからのダウンロードを避けたり、信頼できるMac用セキュリティツール を活用して、パスワードの盗難につながるマルウェアのリスクを積極的に軽減しましょう。
Intego ONEがMacのアカウントセキュリティを強化する仕組み
ブルートフォース攻撃は、アカウントのログイン試行の段階で発生するため、ウイルス対策ソフトではすべてのオンラインアカウントに対するパスワード推測の試みを直接ブロックすることはできません。しかし、Macを保護するにあたって重要な役割を果たします。Intego ONE for Mac は、端末上のパスワード、メール、オンラインバンキング、機密ファイル、毎日のアカウントアクセス等において、強力な保護を提供します。
通信接続の制御
Integoのファイアウォールは、アプリが新しい通信接続や通常とは異なる接続を試みた際に警告を発しますので、原因不明のアクティビティを簡単に許可またはブロックできます。
安全なオンライン活動の確保
Macを保護することで、不正ダウンロードや偽のインストーラー、その他パスワードの盗難やアカウントの乗っ取りにつながる脅威に晒されるリスクを軽減できます。
Macの包括的な保護
Intego ONEは、ウイルス対策、ファイアウォール、VPN、クリーンアップツールを1つのアプリに統合していますので、Macの日々のセキュリティ管理がよりシンプルになり、全体像の把握もし易くなります。
よくある質問
同じではありません。ブルートフォース攻撃は、パスワードを推測してログイン試行する攻撃ですが 、クレデンシャルスタッフィングは、過去の侵害事件などで流出したユーザー名とパスワードを悪用して別サイトのアカウントでログイン試行する攻撃です。つまり、どちらもアカウントへの不正アクセスを目的としていますが、手法が異なります。但し、クレデンシャルスタッフィングやパスワードスプレー攻撃は、大量のアカウントへログイン試行するという特性において、ブルートフォース攻撃と共通しています。
兆候サインとしては、見覚えのないログイン通知、頻繁なパスワードリセットメール、多要素認証(MFA)の要求、アカウントのロックアウト、または見慣れない場所からのログインなどが挙げられます。これらの兆候が必ずしもブルートフォース攻撃であるとは限りませんが、状況を早急に確認しましょう。ログイン通知やMFAの警告に素早く反応する ことで、不審なアクティビティに早期対応ができます。
Intego
信頼。実績。確実。
25年以上に渡って革新を続けるIntegoは、データ、プライバシー、デバイスといった最も重要な資産を守るために構築された高度なサイバーセキュリティソリューションを提供してきました。
受賞歴のあるウイルス対策、ファイアウォール、VPN、システム最適化ツールを搭載し、MacおよびPCユーザーが求めるシンプルさと信頼性を備えた強力な保護を実現します。
パソコンのトータルプロテクションと最高のパフォーマンスを実現