リバースブルートフォースアタックとは?1つのパスワードで多数のIDを試す逆総当たり攻撃

システム開発・テクノロジー
リバースブルートフォースアタックとは?ざっくりと3行で
  • 通常のブルートフォース攻撃(1つのIDに多数のパスワードを試す)と逆に、「123456」などの一般的なパスワードを1つ固定して多数のユーザーIDに対して試行するサイバー攻撃のこと
  • 1つのIDに対するログイン試行回数を制限する「アカウントロック」では防げないという特性があり「パスワードを変えてIDを変える」ことでアカウントロックを回避しながら大量のIDをスキャンする巧妙な攻撃手法だ
  • 「パスワードが弱い人さえいれば成功する」という攻撃の性質上、組織内の1ユーザーでも「password」「123456」などの安易なパスワードを使っていれば突破される可能性があるため全ユーザーのパスワードポリシーの徹底が重要だ

【深掘り】これだけ知ってればOK!

リバースブルートフォースアタックの仕組みを整理しよう。①攻撃者が「最もよく使われるパスワードリスト(Top 100 passwords)」を用意する。②ターゲットのサービスのユーザーIDリストを収集または推測する(メールアドレス・ユーザー名の一般的なパターン)。③1つのパスワードで全IDを試行→次のパスワードで全IDを試行、というサイクルを繰り返す。④ロックアウトを回避しながら大量のアカウントへの侵入を試みる。

対策を整理しよう。強力なパスワードポリシーの強制:最小文字数・複雑性要件(大文字・小文字・数字・記号を含む)を強制して「よく使われるパスワード」を禁止リストとして排除する。多要素認証(MFA)の導入:パスワードが突破されてもMFAがあれば侵入を防げる。CAPTCHAの実装:自動化された攻撃を検知・阻止する。IPレート制限:同一IPからの多数のIDへの試行を検知して制限する。

パスワードスプレー攻撃との違いを理解しよう。リバースブルートフォースと「パスワードスプレー攻撃(Password Spraying)」はほぼ同義で使われることが多い。どちらも「少数のパスワードで多数のIDを試す」という手法だ。Microsoft・Googleなどの大企業のサービスへの不正アクセス事例でもパスワードスプレー攻撃が使われたことが報告されている。

Have I Been Pwned(haveibeenpwned.com)で自分のメールアドレスが過去のデータ漏洩に含まれているか確認できる。漏洩したデータのパスワードリストを攻撃者は「クレデンシャルスタッフィング」(漏洩したID+パスワードのペアをそのまま試す攻撃)に使う。リバースブルートフォースはパスワードを固定してIDを変える攻撃・クレデンシャルスタッフィングはID+パスワードのペアをそのまま使う攻撃という違いがある。

パスワードマネージャーの活用がリバースブルートフォース対策の最も確実な方法だ。サービスごとに異なる強力なランダムパスワードを使うことで「よく使われるパスワード」に自分が含まれるリスクをゼロにできる。1Password・Bitwarden・LastPassなどのパスワードマネージャーを使うことで100以上のサービスへの異なる複雑なパスワードを安全に管理できる。

よくある誤解

アカウントロックがあればリバースブルートフォースアタックを防げると思っている

アカウントロックは「1つのIDへの連続したパスワード試行」を防ぐ。リバースブルートフォースは「1つのパスワードで多数のIDを試す」ため、各IDへの試行回数が少なくアカウントロックがかからない。IPレート制限・MFA・強力なパスワードポリシーの組み合わせが必要だ。

自分が使っているパスワードがリストに入っているかどうか分からないから関係ないと思っている

攻撃者が使う「よく使われるパスワードリスト(Top 100 passwords)」には「123456」「password」「qwerty」「abc123」などが含まれる。これらを少しでも使っているなら攻撃の標的になるリスクがある。パスワードマネージャーでランダムな複雑なパスワードを使うことが最も確実な対策だ。

会話での使われ方

ITKAGYO運営者デプロイ太郎のアイコン画像

管理画面へのログイン試行ログを見ると、異なるIDで「Password1!」というパスワードが繰り返し試されています。リバースブルートフォースアタックです。IPレート制限とMFAを至急実装してください。

セキュリティ担当者がリバースブルートフォースアタックの兆候を発見して対処を指示している場面。

ITKAGYO運営者デプロイ太郎のアイコン画像

パスワードポリシーで「よく使われるパスワード」を禁止リストとして設定しましょう。NIST SP 800-63Bにもよく使われるパスワードを拒否することが推奨されています。

情報セキュリティ担当者がパスワードポリシーの強化を提案している場面。

ITKAGYO運営者デプロイ太郎のアイコン画像

全社員のパスワードをパスワードマネージャーで管理するように変更しました。リバースブルートフォースアタックの「弱いパスワードを持つユーザーがいれば成功する」という性質に対して最も確実な対策です。

情報システム部門の担当者が全社員へのパスワードマネージャー導入の効果を説明している場面。

【まとめ】3つのポイント

  • 1つのパスワードを固定して多数のIDを試すアカウントロック回避の逆総当たり攻撃:各IDへの試行回数が少ないためアカウントロックがかからないという特性があり強力なパスワードポリシーの強制・MFA・IPレート制限・CAPTCHAの組み合わせが対策の基本だ
  • 組織内の1ユーザーが弱いパスワードを使っていれば突破されるリスクがある:「最もよく使われるパスワードリスト」にマッチするユーザーが1人でも存在すれば攻撃が成功するため全ユーザーへの強力なパスワードポリシーの強制とパスワードマネージャーの導入が重要だ
  • パスワードマネージャーでサービスごとに異なるランダムパスワードを使うのが最善策:1Password・Bitwardenなどのパスワードマネージャーを使ってサービスごとに異なる複雑なランダムパスワードを設定することでリバースブルートフォースアタックにつけ入られる隙をゼロにできる

よくある質問

Q
リバースブルートフォースアタックとパスワードスプレー攻撃は同じですか?
A

ほぼ同義で使われます。どちらも「少数のパスワードで多数のIDを試す」攻撃です。パスワードスプレーはより一般的に使われる用語です。

Q
Have I Been Pwnedとは何ですか?
A

Troy Huntが運営するWebサービスで、メールアドレスを入力すると過去のデータ漏洩に含まれているか確認できます。haveibeenpwned.comで無料で確認できます。

Q
よく使われるパスワードリストにはどんなものが含まれますか?
A

「123456」「password」「qwerty」「12345678」「111111」「abc123」「iloveyou」「admin」「letmein」などが上位に入っています。これらは絶対に使わないことが推奨されます。

Q
MFA(多要素認証)はリバースブルートフォースアタックに有効ですか?
A

はい。パスワードが突破されてもMFAがあれば認証の2要素目(スマートフォンアプリのOTP・SMS・ハードウェアキーなど)が必要なため不正ログインを防げます。

【出典】参考URL

https://haveibeenpwned.com/ :Have I Been Pwned(データ漏洩確認サービス)
https://pages.nist.gov/800-63-3/sp800-63b.html :NIST SP 800-63B(パスワードガイドライン)

Password Spraying Attack | OWASP Foundation
Password Spraying Attack on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to imp...
owasp.org
:OWASPのパスワードスプレー攻撃の解説

コメント

「IT用語、難しすぎて心が折れそう……」という方のための、ハードル低めな用語辞典です。

情報レベルは「基礎中の基礎」。会話を止めないためのエッセンスだけを抽出しています。分かりやすさを追求するあまり、時々例え話が暴走しているかもしれませんが、そこは「ほどよく」聞き流していただけると幸いです。
ほどよくIT用語辞典システム開発・テクノロジー
セキュリティ
デプロイ太郎のSNSを見てみる!!
ITKAGYO
タイトルとURLをコピーしました