総当たり攻撃
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/12/29 05:27 UTC 版)
問題点
総当たり攻撃は、回答となるキーワードが長ければ長い程、指数的に正解(目的の結果が得られるキーワードが出る)へ至るのに掛かる時間が長くなる。また「入力する」、「正解かどうかチェックする」、「不正解だったら1ビット追加する」を繰り返して行うため、正解かどうかチェックする対象のシステム(攻撃を被っている側)が何らかの理由で反応を返さなくなった場合には、検証作業は停止してしまう。
一般的にパスワードによる保護を行っているコンピューターは、一定時間内に規定回数以上のパスワード誤入力が続いた場合、アクセス禁止にしてしまうように設計されているため、総当たり攻撃による解析が難しい場合がある。銀行のキャッシュディスペンサーが一定回数以上連続して暗証番号を間違えると、それ以上の操作を受け付けなくなるのと同様である。
防衛手段
攻撃されても、主要なシステムへの侵入が困難であるようシステムを構築することが大事である。よく以下のような防衛手段が挙げられるが、次項以降に挙げるように攻撃方法は日進月歩で進化するため、すぐに有効でなくなる事を考えるべきである。
- パスワードの桁数を増やす(長さを大きくする)
- パスワードに使える文字数に記号や漢字など他の文字を許可しパターンを増加させる
- 第2のパスワードを用意する(セキュリティーコードなど)
- パスワードの試行回数を制限する
- アクセス元を制限する
- 一定の速度以上でのパスワード試行を禁止する
- 数分ごとに自動変化するパスワードにする詳細は「ワンタイムパスワード」および「セキュリティトークン」を参照
- 一定以上のミスに対して、警告メールを管理者に送信する
- 人による常時監視システムにて、異常なパスワード試行がないか監視する
影響
総当たり攻撃には、様々な悪影響が出る。サーバーに対しては数万~数億回(あるいはそれ以上)のアクセスが殺到するために、負荷がかかりサーバーが重くなる。CPU使用率の異常負荷から技術者が気が付く事も多い。また、防衛策を使用すればするほど、パスワード入力が複雑化していき、ユーザーの手間が増え利便性が低下する。ブルートフォースアタックを遮断するために、攻撃元のIPアドレスを遮断するのが負荷対策としてもっとも有効だが、IPアドレスを次々に変更するためにいたちごっことなり、その際に「正規のユーザー」までIPブロックに巻き込まれてログオンできなくなるなどの弊害も発生している。また、試行回数の上限に達したIDがパスワードロックされる事により正規ユーザーが使用できなくなる例も発生しているなど、サーバー担当者のみならず正規ユーザーにも悪影響が出ている。年々、パスワードの桁数は増加傾向にあり、複雑化したパスワードを忘れるなどのデメリットも発生しており、ITコストおよび事務手間コストの増大を発生させており、コスト面からも悪影響が出ている。
- ^ “コンピュータウイルス・不正アクセスの届出状況 2008年9月分および第3四半期について”. 情報処理推進機構 (2008年10月2日). 2020年3月16日閲覧。
- ^ [1][リンク切れ]
- ^ a b 辻伸弘 (2008年5月8日). “人の造りしもの――“パスワード”の破られ方と守り方 (2/4):セキュリティ対策の「ある視点」(9)”. @IT (アイティメディア) 2020年3月16日閲覧。
- ^ “Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方”. GIGAZINE (株式会社OSA). (2007年8月16日) 2020年3月16日閲覧。
- ^ 勝村幸博 (2014年9月4日). “危なすぎる数字だけのパスワード、JALとANAがユーザー認証を強化”. 日経クロステック (日経BP) 2020年3月16日閲覧。
総当たり攻撃と同じ種類の言葉
- 総当たり攻撃のページへのリンク