ブルートフォース攻撃は、機密キーやログイン認証情報、パスワードを突き止めるために試行錯誤を繰り返す手法です。攻撃者はあらゆる自動化ツールを駆使し、すべてのパスワードやログインの組み合わせを体系的に試し続け、最終的に正しい組み合わせを見つけ出します。
本ガイドでは、ブルートフォース攻撃から守る方法について解説します。また、ブルートフォース攻撃を防ぐための手順も学ぶことができます。
.jpg)
なぜブルートフォース攻撃の防止が重要なのか?
ブルートフォース攻撃は予測が難しく、いつアカウントに侵入され機密データが盗まれるかわかりません。銀行やクレジットカード情報、個人情報、さらには医療情報まで失う可能性があります。
さらに、攻撃者がこれらの情報を手に入れると、ダークウェブで売買されることもあります。攻撃者は個人やその後の影響を気にしません。ビジネスに大きな影響が及び、顧客は企業への信頼を永久に失うこともあります。LastPassの侵害は、ブルートフォース攻撃を防止せず無視した場合に何が起こるかを示す厳しい警告でした。ブルートフォース攻撃はローカルファイルの窃取にも利用され、CPUやメモリ、帯域幅を大量に消費することもあります。
また、標的となったシステムのパフォーマンスにも影響し、他のユーザーがリソースにアクセスできなくなる場合もあります。機密データの漏洩によるマルウェア拡散やデータ保護法違反による多額の罰金が発生するリスクもあります。
ブルートフォース攻撃の仕組み
ブルートフォース攻撃は、まず適切な標的を選定することから始まります。攻撃者は慎重に、特定のWebサービスのログインページ、暗号化ファイル、APIエンドポイント、個別ユーザーアカウントなど、どこを狙うかを決めます。標的が決まると、さまざまな手法でパスワード候補を生成します。
単純なブルートフォース攻撃では、ソフトウェアを使ってすべての文字・数字・記号の組み合わせ(例:AA、AB、ACなど)を試します。計算量は非常に多いですが、時間をかければ必ず突破できます。
辞書攻撃では、過去に漏洩したパスワードの一般的なフレーズや単語のリスト(ワードリスト)を利用します。辞書攻撃は高速かつ単純なブルートフォース攻撃の一種です。さらに、クレデンシャルスタッフィングでは、他サイトや侵害から盗まれたユーザー名とパスワードのリストを使い回します。
これらの認証情報を再利用してログインできるか試します。これらの手法以外にも、攻撃者はボットやスクリプトなどの自動化ツールを使い、驚異的な速度で推測を繰り返します。大量のログインリクエストを送信し、次々と組み合わせを試します。
場合によっては、AIや機械学習を活用して自動ログイン防止のためのキャプチャを突破するサービスを利用することもあります。攻撃者はアカウントを乗っ取るまであらゆる手段を使い続けます。複数の手法を組み合わせ、最終的に正解を見つけるまで攻撃を続けます。ブルートフォース攻撃が成功すると、ネットワーク内でさらに深く、横方向に移動し、悪意のある行動を実行します。
ブルートフォース攻撃の警告サイン
ブルートフォース攻撃の警告サインは非常に明確です。以下の点に注意してください:
- 短時間に大量のログイン失敗や、予期しない地理的場所からのログイン。繰り返されるアカウントロックアウトや失敗回数の上限到達も指標となります。
- 単一アカウントへの複数IPアドレスからのアクセス試行など、不審なIPアクティビティ。通常の業務時間外の異常なログイン時間も要注意です。
- サーバーリソースの高負荷にも注意が必要です。システムログを確認すると、繰り返し発生するエラーメッセージや存在しないユーザー名へのログイン試行が見られる場合があります。
- 不審なログイン試行を発見した場合は、システムログで存在しないユーザー名へのログインがないか確認してください。失敗が続いた後に成功したログインがあれば、攻撃者が認証情報を突き止めたサインです。
ブルートフォース攻撃を防ぐためのベストプラクティス
まず最も重要なのは、ブルートフォース攻撃を100%確実に防ぐ方法は存在しないということです。しかし、それでも対策を講じることは可能です。
多層的な防御を施すことで、何も対策しないよりはるかに安全です。以下はブルートフォース攻撃を防ぐための主な方法です:
1. 強力なパスワードの設定
強力かつユニークなパスワードを使用してください。推測されやすいパスワードや一般的なフレーズは避けましょう。大文字・小文字・数字・記号を組み合わせ、最低8文字以上にしてください。
また、パスワード管理ツールを利用してパスワードを管理しましょう。世界中でよく使われているパスワードのデータベースを確認し、それらは避けてください。既に流出・再利用されている可能性が高いからです。弱いパスワードを拒否し、定期的なパスワード変更を義務付けるポリシーを導入しましょう。パスワード管理ツールは安全で有効です。
2. 多要素認証の導入
これは必須であり、すべてのアカウントに追加のセキュリティ層を提供します。複数の認証要素があれば、一つ突破されても他の要素で防御できます。
認証要素には、生体認証、画面ロック、セキュリティトークンなど様々なものがあります。
3. アカウント監視とアクティビティトラッキング
アカウントの活動状況(ログイン失敗回数、IPアドレス、場所など)を常に監視しましょう。誰がどこからログインしているかを把握し、定期的な監視でブルートフォース攻撃を事前に特定・対応できます。監視ツールの活用は、攻撃を未然に防ぐ有効な方法です。
4. レートリミットの利用
レートリミットを導入し、一定期間内のログイン試行回数を制限しましょう。一定回数を超えた場合はアカウントをロックします。これにより攻撃者がパスワードを推測しにくくなります。
5. デフォルト認証情報の使用禁止
デフォルトのユーザー名やパスワードは使用しないでください。多くの管理インターフェース、VPN、RDP接続などもデフォルト認証情報を使っている場合があるため、これらも注意が必要です。
6. ソフトウェアの更新と脆弱性の修正
古いソフトウェアや未修正の脆弱性は攻撃者に悪用される可能性があります。ソフトウェアだけでなく、ハードウェアのファームウェアも最新の状態に保ちましょう。
7. パスワードの平文保存禁止
パスワードを平文ファイルで保存したり、弱いハッシュ化を使用しないでください。データベースが侵害された場合、攻撃者はレインボーテーブルなどで平文をすぐに特定できます。
8. 従業員教育
従業員にパスワード管理の重要性や、認証情報を盗むフィッシング詐欺の見分け方を教育しましょう。不審な活動の報告や注意点についても周知徹底してください。
ブルートフォースリスクを高める一般的なミス
ブルートフォース攻撃の防止方法がまだ分からない場合は、まずよくあるミスを把握することから始めましょう。リスクを高めないために避けるべきことは以下の通りです:
簡単なパスワードの使用禁止
短いパスワードや一般的な単語、推測されやすい文字列は避けてください。名前、誕生日、電話番号などの個人情報や日常的な情報もNGです。攻撃者はSNSから情報を収集し、数時間や数分で攻撃を成功させることができます。
既存パスワードの使い回し禁止
同じパスワードの使い回しも厳禁です。特に銀行やメールなど、異なるアカウントやWebサービスで同じ認証情報を使わないでください。アプリの設定でログイン失敗回数の上限を設け、無制限な試行を防ぎましょう。これにより攻撃者による大量のパスワード試行を防ぎ、自動的に保護機構を発動できます。
MFAの無視禁止
多要素認証を無視しないでください。シングルサインオンだけでは不十分であり、攻撃者は電話番号や指紋、他のパスワードも盗むことができます。複数の認証要素が必要です。
SentinelOneによるブルートフォース攻撃対策
ブルートフォース攻撃を防ぎ、保護するには、攻撃の兆候やインジケーターを監視する必要があります。そのための最適な方法の一つが、SentinelOneのAI SIEMソリューションの利用です。SentinelOneのAI SIEMソリューションはSingularity™ Data Lake上に構築されており、エンタープライズ全体にリアルタイムのAIによる保護を提供します。クラウドネイティブなAI SIEMに移行し、無制限のスケーラビリティと無期限のデータ保持を活用できます。SentinelOneのハイパーオートメーションによりワークフローも高速化されます。エンドポイント、クラウド、ネットワーク、アイデンティティ、メールなどを保護し、リアルタイム検知のためのデータストリーミングや調査の可視性向上も実現します。
SentinelOneは、AIによる行動分析やSingularity™ Identityモジュールを通じてブルートフォース攻撃を防御します。リアルタイムでブルートフォース攻撃パターンを検知・阻止し、強力な認証や効果的なディセプション技術も提供します。
ユーザーやシステムの行動(異常なログイン失敗回数や不審な地理的場所からのログインなど)を監視できます。Singularity™ Identityは、アイデンティティシステムを継続的に評価し、認証情報ベースの攻撃から保護します。
自動アカウントロックアウトの防止やレートリミットの適用も可能です。多要素認証の強制や、パスワード以外の時間ベースコードや生体認証など追加の認証要素も導入できます。
SentinelOneのディセプション技術は、環境内に偽のネットワーク共有などのデコイを設置し、攻撃者を誘導して高精度なアラートを自動的に発報し、攻撃者の存在や意図を明らかにします。実際の機密資産から攻撃者を遠ざけることも可能です。
SentinelOneは、影響を受けたエンドポイントの自律的な隔離や、悪意のあるプロセスの終了、攻撃者のIPアドレスのブロック、不正な変更のロールバックによるシステム復旧も自動で実行できます。これらはすべて人手を介さずに行われます。
Get Deeper Threat Intelligence
See how the SentinelOne threat-hunting service WatchTower can surface greater insights and help you outpace attacks.
Learn Moreまとめ
これでブルートフォース攻撃の防止方法について必要な知識を網羅しました。パスワードを安易に設定せず、警戒を怠らないようにしましょう。
ブルートフォース攻撃の防止策を理解した今、従業員にもパスワードセキュリティの重要性を周知し、油断しないように伝えてください。SentinelOneへのご相談が必要な場合は、お問い合わせください。サポートいたします。
よくある質問
ブルートフォース攻撃とは、誰かがあなたのアカウントやシステムにアクセスするために、何千ものパスワードの組み合わせを試す攻撃です。攻撃者は自動化ツールを使用して、正しいパスワードが見つかるまで繰り返し推測を行います。これらの攻撃は、メールアカウントからネットワークログインまであらゆるものを標的とします。高度なエクスプロイトは必要なく、単純に時間と計算能力だけで実行できます。パスワードが弱い、または短い場合、攻撃者はより早く侵入できます。ブルートフォース攻撃はインターネット上で常に発生しており、強力な保護がないアカウントはすべてリスクにさらされています。
まず、強力なパスワードポリシーを適用し、パスワードは長く複雑にしてください。万が一パスワードが推測されても、二段階認証を設定することで、二つ目の認証がなければログインできないようにします。アカウントが一時的にロックされるまでのログイン試行回数を制限してください。ネットワーク上で異常なログインパターンやアクセス失敗の試行を監視します。ログインページにはCAPTCHAを導入し、自動化された攻撃を遅らせます。すべてのシステムを最新の状態に保ち、パッチを適用してください。従業員には、ユニークで強力なパスワードを使用し、異なるサービス間で使い回さないよう教育しましょう。
はい、CAPTCHAはブルートフォース攻撃を遅らせるのに役立ちます。これは、攻撃者が自動的にパスワードを大量に入力する代わりに、視覚的またはパズルの課題を解決することを強制します。しかし、CAPTCHAだけでは完全な対策にはなりません。高度な攻撃者は、CAPTCHA解決サービスや他の回避策を利用することができます。CAPTCHAは、レート制限、多要素認証、アカウントロックアウトなどの他の防御策と組み合わせて使用するべきです。目的は、ブルートフォース攻撃を非常に時間がかかり困難なものにし、攻撃者がより簡単な標的に移るようにすることです。
長いパスワードはブルートフォース攻撃を指数関数的に困難にします。6文字のパスワードは数時間で解読される可能性があります。8文字のパスワードは数日から数週間かかります。12文字のパスワードは数か月から数年の計算作業が必要です。1文字追加するごとに、攻撃者が試行しなければならない組み合わせが倍増します。長さに加えて複雑さ(文字、数字、記号の組み合わせ)を加えることで、攻撃者の作業はさらに困難になります。16文字のパスワードは8文字のものよりも格段に安全です。長さはブルートフォース攻撃に対する最も効果的な防御策の一つです。
侵入検知システムを使用して、繰り返されるログイン失敗試行を監視できます。セキュリティ情報およびイベント管理プラットフォームは、ログを監視し、不審なパターンを検出します。SentinelOne Singularity XDR は、システム全体でブルートフォース活動を検出できます。保護機能を備えたファイアウォールは、同一ソースからの繰り返しの接続試行をブロックできます。また、認証ログやネットワークトラフィックを確認して攻撃の兆候を調べるべきです。アンチマルウェアソリューションと継続的な監視を組み合わせることで、ブルートフォース試行が成功する前に検出できます。
認証ログを継続的に監視し、同一IPアドレスまたはユーザーアカウントからの複数回のログイン失敗を確認してください。短時間にログイン失敗が一定回数を超えた場合にアラートが発報されるよう設定します。自動化されたログイン試行を示すパターンがないかネットワークトラフィックを監視してください。ファイアウォールやアクセス制御を設定し、すべての認証イベントを記録します。事後ではなくリアルタイムでログを分析するセキュリティツールを使用してください。攻撃を早期に検知できれば、攻撃者を迅速に遮断し、アカウントを保護できます。
