この記事を読むために必要な時間は約4分(1391文字)です。
ブルートフォース/リバースブルートフォースとは?
- 投稿日:2020-10-01
- 最終更新日:2021-01-09
- 表示:79PV
- カテゴリ:攻撃方法
ドコモ口座問題で話題になった攻撃方法「ブルートフォース」と「リバースブルートフォース」のお話です。
目次
不正ログインの手法
そもそもログインに必要な情報とは?
サービスのログインに必要な情報とは何でしょうか?そう聞かれて答えると、ほとんどの方は次の2つを答えるはずです。
- ログインID
- パスワード
また、「ログインID」を「会員番号」など、別の呼び方をする場合もあります。
が、最低でも必要な情報は、どのようなサービスであっても、上記の2つでしょう。
不正ログインするためには、究極的には、上の2つの情報を得ることが必要になります。
ブルートフォースとは?
ブルートフォースとリバース・ブルートフォースは、同じ言葉「ブルートフォース」から派生しました。ブルートフォースとは、日本語では「総当たり攻撃」と訳されます。
直訳すると、
- (純正)総当たり攻撃=ブルートフォース
- 逆の総当たり攻撃=リバースブルートフォース
総当たり攻撃とは?
文字を順番に並べてログインできるか試します。- 数字であれば、0から9まで順番に
- 英文字であれば、小文字のaからzまで順番に
続いて大文字のAからZまで順番に
攻撃者が「セキュリティ攻撃をする人の目的」でお話をした「金銭」目的の場合、できるだけ早くお金が欲しいでしょう。
お金を得るために不正ログインするのですから、不正ログインに必要な情報をできるだけ早く得たいでしょう。
そのためには、攻撃回数を減少させる必要があります。
1回の攻撃が短時間であっても、総当たりするのはそれなりの時間がかかるためです。
そのため、総当たり攻撃は、不正ログインに必要な2項目「ログインID」と「パスワード」の一方を固定して、回数を半減させています。
それでは、ブルートフォースとは、何を総当たりするのでしょうか?
ブルートフォース攻撃とは
不正ログインに必要な2項目「ログインID」と「パスワード」の「ログインIDを固定」して、パスワードを総当たりします。防御策
コンピュータで連続処理するのは手間がかからないため、ブルートフォースは、防御ができていない初期の攻撃としては、効果があります。しかし、防御する側も、考えました。
人間なので入力間違いはあるだろう。
しかし、パスワードを知っていれば、3回も入力ミスすることはないはず・・・
と言うことで、3回間違えれば、「ログインできなくする」or「ログインミスをユーザに連絡する」という防御策をサービスサイトはとるようになりました。
リバースブルートフォース攻撃とは
同じログインIDで不正ログイン対策されたのであれば、逆(=リバース)にパスワードを固定して、ログインIDを総当たりすればよいのでは?と考えたのが、「リバースブルートフォース攻撃」です。「ログインID」とは逆の「パスワードを固定」することから、リバース(逆)と名付けられています。
ユーザーは人なので、ログインID当たりの間違い回数1回で、「ログインできなくする」or「ログインミスをユーザに連絡する」という防御策をとれないだろう。。。という考えの攻撃です。
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|
