目次
ブルートフォース攻撃ってなに?
ブルートフォース(Brute force)とは「力づくで」という意味で、別名「総当たり攻撃」とも呼ばれているパスワードを破る手法の一つです。
「力づくで」そして「総当たり攻撃」の名前の通り、パスワードに使用されていると想定される文字列を1つずつ試していくことで、パスワードを破る手法です。
例えば自転車のチェーンロックに「ブルートフォース攻撃」をする場合
- 1回目:「0000」
- 2回目:「0001」
- 3回目:「0002」
- 4回目:「0003」
- 5回目:「0004」
※一般的な自転車のチェーンロックは4桁
とパスワードに設定される可能性のあるすべてのパターンを一つずつ試していきます。その結果、時間さえあれば、必ず正解のパスワードに必ず辿り着くことができます。
スポンサーリンク
ブルートフォース攻撃でパスワードを解読するまでの時間はどのくらい?
ブルートフォース攻撃は、コンピュータを使用してパスワードを解読していきます。IPA 独立行政法人 情報処理推進機構が2015年9月に追記したデータでは、パスワードの桁数が短いと、ブルートフォース攻撃で簡単にパスワードが解読できることが判明しています。
| 使用する文字の種類 | 4桁 | 6桁 | 8桁 | 10桁 |
| 英字(大文字、小文字区別無) | 約3秒 | 約37分 | 約17日 | 約32年 |
| 英字(大文字、小文字区別有)+数字 | 約2分 | 約5日 | 約50年 | 約20万年 |
| 英字(大文字、小文字区別有)+数字+記号 | 約9分 | 約54日 | 約1千年 | 約1千万年 |
参考URL:https://www.ipa.go.jp/security/txt/2008/10outline.html
ブルートフォース攻撃の対策方法
パスワードの桁数や文字列の組み合わせを増やす
「ブルートフォース攻撃でパスワードを解読するまでの時間はどのくらい?」で紹介したように、パスワードの桁数や、パスワードで使用する文字の種類を増やすことで、ブルートフォース攻撃でパスワードを解読することを困難にすることができます。
例えば「英字(大文字、小文字区別有)+数字+記号」を組み合わせた10桁のパスワードは、解読するまでに約1千万年(※2015年9月時点のデータ)掛かり、現実的ではありません。
ログイン試行回数に制限を掛ける
ログイン試行回数に制限を掛けることは、ブルートフォース攻撃に有効な手段です。
例えば「一定時間内に連続して5回パスワードを間違えた場合、30分間ログインできなくする」といった制限を掛ければ、ブルートフォース攻撃でパスワードを解読することは困難となります。