総当たり攻撃 逆総当たり攻撃

ウィキペディア

総当たり攻撃

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2023/12/29 05:27 UTC 版)

逆総当たり攻撃

ひとつのIDに対してたくさんのパスワードを試すのではなく、決め打ちしたパスワードをいくつものIDに対して試す攻撃方法もあり、これは「逆総当たり攻撃」（リバースブルートフォース）と呼ばれる。これは「パスワード長が短くパスワードに使用できる文字種が少ない」システムに対して極めて有効である。たとえば「IDは必ず連続した数字10桁、パスワードは必ず数字4桁」といったシステムでパスワードに偏りがないと仮定すれば、パスワード「1234」をID:1000000000からID:1000010000までの10,000件のIDに対して試行すると、一つのIDに不正ログインできる計算になる。またこの場合、銀行ATMにあるような「ひとつのIDに対するパスワードの試行回数を制限する」防御方法では防ぐことができない。1万枚のキャッシュカードを手に入れた犯罪者が1枚ずつカードを試すところを想像するとよい。

2014年1月末から3月にかけてJALおよびANAのマイレージサービスに対して行われた不正アクセスは、パスワードロックがかかる寸前まで総当たり攻撃を行い、ロック寸前にIDを変更する「総当たり攻撃」と「逆総当たり攻撃」の組み合わせで行われた^[5]。また、この際は、成功確率を上げるために確率が高いパスワードを試行された可能性が指摘されている為、考えようによっては、辞書攻撃も組み合わされた可能性もある。

ボットネットを利用した攻撃

ボットネット（BotNet）と呼ばれる「世界中に散らばった、ウイルス感染等によって支配した複数のコンピュータに1台ずつ順に攻撃させる」手法を利用された場合、「ひとつのアクセス元からのパスワード試行回数を制限する」「一定の速度以上でのパスワード試行を禁止する」としても防ぐことができない。1万枚のキャッシュカードを手に入れたメンバー1万人の犯罪組織が1人に1枚ずつカードを渡し、個々人がてんでばらばらにATMを訪問するところを想像されたい。

もちろんこのボットネット攻撃は、前述の逆総当たり攻撃と組み合わせることも可能である。

脚注

[脚注の使い方]

脚注

1. ^ “コンピュータウイルス・不正アクセスの届出状況　2008年9月分および第3四半期について”. 情報処理推進機構 (2008年10月2日). 2020年3月16日閲覧。
2. ^ [1]^{[リンク切れ]}
3. ^ ^{a b} 辻伸弘 (2008年5月8日). “人の造りしもの――“パスワード”の破られ方と守り方 (2/4)：セキュリティ対策の「ある視点」（9）”. ＠IT (アイティメディア). https://www.atmarkit.co.jp/ait/articles/0805/08/news151_2.html 2020年3月16日閲覧。 
4. ^ “Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方”. GIGAZINE (株式会社OSA). (2007年8月16日). https://gigazine.net/news/20070816_ophcrack/ 2020年3月16日閲覧。 
5. ^ 勝村幸博 (2014年9月4日). “危なすぎる数字だけのパスワード、JALとANAがユーザー認証を強化”. 日経クロステック (日経BP). https://xtech.nikkei.com/it/atcl/column/14/346926/090100042/ 2020年3月16日閲覧。