総当たり攻撃
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/05/01 06:04 UTC 版)
逆総当たり攻撃
ひとつのIDに対してたくさんのパスワードを試すのではなく、決め打ちしたパスワードをいくつものIDに対して試す攻撃方法もあり、これは「逆総当たり攻撃」(リバースブルートフォース)と呼ばれる。これは「パスワード長が短くパスワードに使用できる文字種が少ない」システムに対して極めて有効である。たとえば「IDは必ず連続した数字10桁、パスワードは必ず数字4桁」といったシステムでパスワードに偏りがないと仮定すれば、パスワード「1234」をID:1000000000からID:1000010000までの10,000件のIDに対して試行すると、一つのIDに不正ログインできる計算になる。またこの場合、銀行ATMにあるような「ひとつのIDに対するパスワードの試行回数を制限する」防御方法では防ぐことができない。1万枚のキャッシュカードを手に入れた犯罪者が1枚ずつカードを試すところを想像するとよい。
2014年1月末から3月にかけてJALおよびANAのマイレージサービスに対して行われた不正アクセスは、パスワードロックがかかる寸前まで総当たり攻撃を行い、ロック寸前にIDを変更する「総当たり攻撃」と「逆総当たり攻撃」の組み合わせで行われた[5]。また、この際は、成功確率を上げるために確率が高いパスワードを試行された可能性が指摘されている為、考えようによっては、辞書攻撃も組み合わされた可能性もある。
ボットネットを利用した攻撃
ボットネット(BotNet)と呼ばれる「世界中に散らばった、ウイルス感染等によって支配した複数のコンピュータに1台ずつ順に攻撃させる」手法を利用された場合、「ひとつのアクセス元からのパスワード試行回数を制限する」「一定の速度以上でのパスワード試行を禁止する」としても防ぐことができない。1万枚のキャッシュカードを手に入れたメンバー1万人の犯罪組織が1人に1枚ずつカードを渡し、個々人がてんでばらばらにATMを訪問するところを想像されたい。
もちろんこのボットネット攻撃は、前述の逆総当たり攻撃と組み合わせることも可能である。
脚注
- ^ “コンピュータウイルス・不正アクセスの届出状況 2008年9月分および第3四半期について”. 情報処理推進機構 (2008年10月2日). 2020年3月16日閲覧。
- ^ [1][リンク切れ]
- ^ a b 辻伸弘 (2008年5月8日). “人の造りしもの――“パスワード”の破られ方と守り方 (2/4):セキュリティ対策の「ある視点」(9)”. @IT (アイティメディア) 2020年3月16日閲覧。
- ^ “Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方”. GIGAZINE (株式会社OSA). (2007年8月16日) 2020年3月16日閲覧。
- ^ 勝村幸博 (2014年9月4日). “危なすぎる数字だけのパスワード、JALとANAがユーザー認証を強化”. 日経クロステック (日経BP) 2020年3月16日閲覧。
- 1 総当たり攻撃とは
- 2 総当たり攻撃の概要
- 3 概要
- 4 問題点
- 5 逆総当たり攻撃
- 6 関連項目
総当たり攻撃と同じ種類の言葉
- 総当たり攻撃のページへのリンク