そうあたり‐こうげき【総当(た)り攻撃】
ブルートフォース攻撃
別名:ブルートフォースアタック,総当たり攻撃
【英】brute force attack
ブルートフォース攻撃とは、暗号やパスワードを解読、解析するための手法のひとつである。考えられる全ての暗号鍵を自動化されたプログラムによってひたすら入力し、復号化プログラムによって、暗号が意味のある文字列になるかどうかを試行錯誤しながら調べて行く方法。どのような形態の暗号に対しても攻撃できるが、鍵の長さが増えると考えられる鍵のパターンの数は幾何級数的に増大するため、効率の悪い攻撃方法であるといえるが、実際の攻撃はコンピュータが行うため、時間さえかければ有効な方法であると言える。
総当たり攻撃
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/05/01 06:04 UTC 版)
総当たり攻撃(そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組合せを全て試すやり方。力任せ攻撃、または片仮名でブルートフォースアタック(英: Brute-force attack)とも呼ばれる。
- ^ “コンピュータウイルス・不正アクセスの届出状況 2008年9月分および第3四半期について”. 情報処理推進機構 (2008年10月2日). 2020年3月16日閲覧。
- ^ [1][リンク切れ]
- ^ a b 辻伸弘 (2008年5月8日). “人の造りしもの――“パスワード”の破られ方と守り方 (2/4):セキュリティ対策の「ある視点」(9)”. @IT (アイティメディア) 2020年3月16日閲覧。
- ^ “Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方”. GIGAZINE (株式会社OSA). (2007年8月16日) 2020年3月16日閲覧。
- ^ 勝村幸博 (2014年9月4日). “危なすぎる数字だけのパスワード、JALとANAがユーザー認証を強化”. 日経クロステック (日経BP) 2020年3月16日閲覧。
- 1 総当たり攻撃とは
- 2 総当たり攻撃の概要
- 3 概要
- 4 問題点
- 5 逆総当たり攻撃
- 6 関連項目
総当たり攻撃
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/01/22 00:56 UTC 版)
詳細は「総当たり攻撃」を参照 最後の手段のひとつとしてあるのが、考えうる「全ての」パスワードを試す、いわゆる総当たり攻撃である。理論的には、試行回数に上限が無いとするならば、総当たり攻撃は必ず成功する。なぜなら有効なパスワードを決めるためのルールは公にされている必要があるからだ。しかしパスワードが長くなるにつれて、考えうるパスワードの数も増加する。パスワードが比較的短いのでなければ、総当たり攻撃は非現実的と思われるが、並行処理という手法を使えばパスワードを割り出す時間を短縮することは可能で、それは使用するコンピュータ (CPU) の数に反比例する。この攻撃方法は、攻撃者がパスワードのハッシュ値とハッシュアルゴリズムを知っているかどうかで大きく様相が異なり、知っている場合は「オフライン攻撃」(保護された対象へ接続している必要はない)、知らない場合は「オンライン攻撃」と呼ばれる。オフライン攻撃の方が通常はるかに容易である。なぜならパスワードの検証は、候補となるパスワードのハッシュを数学的に計算し、実際のパスワードのハッシュと比較するだけで済むからだ。オンライン攻撃の場合、攻撃者は全てのパスワードについて認証を試みなければならず、システムによって規則[訳語疑問点]と遅延が課せられ、またそれらの試みは記録される。 パスワードは、アルファベット・数字・(句読点などの)記号をランダムに組み合わせ、8 文字以上の長さにすることが一般に推奨される。ただしこれは、md5-crypt や Blowfish ベースの bcrypt といった、強力なパスワードハッシュ法を使うシステムで意味を持つのであり、多くの Microsoft Windows システムでは不充分である。なぜなら、それらの Windows はレガシーな LAN Manager ハッシュ法を使っており、それはパスワードを 2 個の 7 バイト列に分けてしまうからだ。それらのシステムでは、8 文字のパスワードならば 7 文字のパスワードと 1 文字のパスワードに変換される。セキュリティを高めるためには、そのシステムに依存するレガシーシステムに影響がない限り、LAN Manager 形式でのパスワード保存を無効化すべきである。システムによっては、パスワードに数字しか使えなかったり、大文字しか使えなかったり、あるいは一般的に言って、パスワード用の文字に制限を設けている場合がある。そうしたシステムも、比較的容易に総当たり攻撃をかけることができる。そうした場合(可能ならば)より長いパスワードを使うことで、文字パターンの制約を埋め合わせることができる。もちろん、多くの文字を選べるシステムであっても、ユーザ自身が特定の種類の文字に限って選択を行なった場合(例えば大文字だけ選んだり、数字だけ選んだ場合)は、そのアカウントへの総当たり攻撃は非常に容易になってしまう。 単純な総当たり攻撃であっても成功することはしばしばだが、人間がどのようにパスワードを選ぶ傾向を持つかという知見を悪用した「スマートな」総当たり攻撃は、さらに大きな脅威となる。アメリカ国立標準技術研究所 SP 800-63 (2) の報告ではパスワードの品質や推奨事項などが議論されているが、例えばユーザが自分で 8 文字のパスワードを考えた場合、それがどのように選ばれるかにより、エントロピー(ランダムさの程度)は 18 - 30 ビットの範囲に収まる。24 ビットのランダムさというと、無作為に選んだ 3 バイト、あるいは無作為に選んだ 5 文字の大文字アルファベット、あるいは 4000 語の中から無作為に選んだ 2 単語に相当する。このエントロピーは、暗号化キーとして安全だと通常考えられるレベルより遥かに低い。 オフライン攻撃を考えると、この脆弱さは「あまりに脆弱すぎる」という話であり、また部分的には攻撃者の技量とリソース(例えば時間とマシンパワー)に負うものである。後者はコンピュータの性能が上がるにつれ大きくなるだろう。広く使われているハッシュ法は、さらに解析を早めるため、それに特化したハードウェアとして実装することも可能である。多数のコンピュータを並列に連結し、広大な探索空間の一部を各々が受け持つことも可能である。夜間や週末で使われていない事務所のコンピュータも、この目的に使うことができる。
※この「総当たり攻撃」の解説は、「パスワードクラック」の解説の一部です。
「総当たり攻撃」を含む「パスワードクラック」の記事については、「パスワードクラック」の概要を参照ください。
総当たり攻撃と同じ種類の言葉
- 総当たり攻撃のページへのリンク