お問い合わせ
ブルーフォースアタックにより個人情報が漏えいする事例が多発しています。ブルーフォースアタックとは、パスワードを総当たりで試行する攻撃手法です。比較的簡単に実行できる攻撃であるため、誰でも標的になる可能性があります。そのため、効果的な対策を講じて被害を防ぐことが重要です。
この記事では、ブルートフォースアタックの種類や手口、有効な対策などを解説します。
目次
ブルートフォースアタックとは
ブルートフォースアタックとは、システムのセキュリティを突破するために、あらゆる可能性のあるパスワードを試す攻撃方法です。システムの弱点を特定するのではなく、力ずくでパスワードを見つけ出すという特徴があります。
例えば、パスワードが数字4桁の場合、攻撃者は特定のツールやプログラムを使用して「0000」から「9999」まで順に全ての組み合わせを試します。短時間で何千、何万というパスワードの組み合わせを試すことができるため、セキュリティがそれほど高くないシステムでは、簡単にパスワードを突破されるリスクがあります。
ブルートフォースアタックを受けるとどうなる?
ブルートフォースアタックを受けると以下のような被害が発生する可能性があります。
- システム・Webサイトが乗っ取られる
- 金銭的被害が発生する
- 個人情報が漏えいする
システム・Webサイトが乗っ取られる
ブルートフォースアタックにより攻撃者がログイン情報を手に入れると、システムやWebサイトを完全に乗っ取ることができます。乗っ取られたシステムやWebサイトは、攻撃者の意のままに操作されることになり、重要な情報の改ざんや削除が行われる危険性があります。
金銭的被害が発生する
攻撃者が不正ログインに成功した後、クレジットカードや口座の情報を盗み出し、不正利用することが可能です。一般的には、盗んだクレジットカードの不正使用による高額商品の購入や、銀行口座からの不正送金があります。また、攻撃者が盗んだ個人情報を第三者に売り渡すことにより、被害者は金銭的な損失に加えて個人情報の漏洩という二重の被害に遭うことも少なくありません。
個人情報が漏えいする
ブルートフォースアタックによって企業の機密情報や知的財産、個人情報が漏えいする可能性があります。
仮に、企業が保有する顧客の個人情報が漏えいした場合、「漏えいした情報の種類」「侵入経路」「漏えい件数」などを調査し、個人情報保護委員会に報告することが法律で定められています。万が一、これに違反した場合、罰金刑が科せられる可能性もあるため注意しましょう。
個人情報の漏えいが発覚した際は、フォレンジック調査が役立ちます。フォレンジック調査とは、コンピューターやネットワーク、その他デジタル機器内のデータを科学的に調査・分析し、サイバー攻撃の全容を明らかにする手法です。これを用いることで、ブルートフォースアタックによる被害を正確に把握することができます。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
ブルートフォースアタックの種類と手口
ブルートフォースアタックの代表的な種類と手口は以下のとおりです。
- 単純ブルートフォース攻撃
- 辞書攻撃
- リバースブルートフォース攻撃
単純ブルートフォース攻撃
単純ブルートフォース攻撃は、可能性のあるすべてのパスワードの組み合わせを試す手法です。攻撃者は、ユーザー名やIDと組み合わせて、0から9までの数字や、aからzまでの英字、AからZまでの英大文字など、単純な文字列を組み合わせて、パスワードを推測します。
辞書攻撃
ブルートフォース攻撃が無作為にあらゆる組み合わせを試すのに対し、辞書攻撃はより限定された範囲からパスワードを特定する手法です。攻撃者は「password」「123456」など辞書に掲載されている単語やよく使われるパスワードの組み合わせを試行して、パスワードを推測します。ただし、辞書に掲載されていないパスワードの場合、成功する確率は低くなります。
リバースブルートフォース攻撃
リバースブルートフォース攻撃とは、パスワードを固定して、あらゆるIDを組み合わせて、総当たりで不正ログインを試みる攻撃です。通常のブルートフォース攻撃は、IDを固定してパスワードを総当たりで試行しますが、リバースブルートフォース攻撃は、パスワードを固定してIDを総当たりで試行します。
ブルートフォースアタックの対象
ブルートフォースアタックの対象は以下のとおりです。
- Webサイトやシステムのログイン画面
- Webサービスやアプリケーションのアカウント
- IoT機器
- クラウドサービス
Webサイトやシステムのログイン画面
ログイン画面は、ブルートフォースアタックの主要なターゲットです。多くのWebサイトやシステムは、ログイン認証を通じてユーザーのアクセスを管理しますが、これを突破するためにブルートフォースアタックを利用します。特に、管理者権限を持つアカウントがターゲットにされることが多く、成功するとシステム全体にアクセスできるようになります。
Webサービスやアプリケーションのアカウント
人気のあるサービスやアプリケーションは、攻撃者にとって魅力的なターゲットになります。ソーシャルメディア、メールサービス、オンラインバンキングなど、広範囲にわたって利用されているサービスは、大量の個人情報を含むため特に狙われやすいです。これらのアカウントが侵害されると、個人情報の漏洩や不正な活動に利用されるリスクが高まります。
IoT機器
セキュリティが弱いIoT機器は、攻撃者によるブルートフォースアタックのターゲットになりがちです。インターネットに接続される多くのデバイスは、基本的なセキュリティ対策が欠けているケースが多くあります。特にデフォルトのパスワードを変更しないユーザーが多いため、攻撃者はこれを利用して容易にアクセス権限を得ることができます。
クラウドサービス
クラウドストレージやクラウドベースのアプリケーションも、攻撃の対象になります。多くの人がデータの保存やアプリケーションの実行にクラウドサービスを利用しており、大量の情報にアクセスすることを目的に攻撃を仕掛けます。
ブルートフォースアタックを受けた場合は専門業者に相談する
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
