1. 情報セキュリティブログ ホーム
  2. セキュリティ用語解説
  3. リバースブルートフォースアタックとは

リバースブルートフォースアタックとは

リバースブルートフォースアタック(リバースブルートフォース攻撃、逆総当たり攻撃などともいう)とは、認証を突破する攻撃手法の一つで、特定のパスワードに対し、ユーザーIDに用いる可能性のある文字列を用い、総当たり的にログインを試行する手法のこと。

ブルートフォース(brute force)とは、「力ずくで、強引に」という意味で、
「リバースブルートフォース」という名称は、特定のIDに対し、考えられる全てのパスワードをリストアップし、総当たり的にログインを試みるブルートフォースアタックを前提にした名称である。

ブルートフォースアタックでは、ユーザーIDが固定され、総当たり的にパスワードを変更してログインを試行するのに対し、リバースブルートフォースアタックでは、パスワードを固定し、ユーザーIDを変更してログインが試行される。

攻撃に使われるパスワードは単純な文字列で、「admin」や「123456」「password」などの文字列が選ばれる。ユーザーIDは「0001」「0002」「0003」「0004」などのように連続した文字列を順番に試行する場合や、「satou」「suzuki」「takahashi」などのように、辞書などによく載っているような(ユーザー名に用いられやすい)文字列を試行する場合などがある。

最近の認証システムでは、同じIDで一定回数ログインに失敗すると、一定時間ログインができなくなるアカウントロックの仕組みを導入しているところがある。これは、ブルートフォースアタックを阻止する目的では有効だが、ユーザーIDの側を次々と変えていくリバースブルートフォースアタックは、単純なアカウントロックを回避することが可能なので、対策が難しい面がある。

ユーザーが、上記で挙げたような単純な文字列をパスワードに用いている場合、リバースブルートフォースアタックを仕掛けることで認証を突破されてしまう可能性がある。このため、ユーザーは、大文字と小文字、数字や記号を混ぜ、可能であれば12文字以上のできるだけ長い文字列にするといった「強い」パスワードを設定する必要がある。

また、サービス事業者側でも、ユーザーのアカウント作成時に、辞書にある単語はパスワードとして設定できないように排除する仕組みを導入し、「弱い」パスワードを設定させないような対策を行っているところがある。

セキュリティ用語辞典一覧ページへ

関連キーワード:

パスワード

総当たり攻撃

  • トレンドマイクロ社が電話によるフィッシング詐欺と個人情報漏えいの関連性について指摘
  • カテゴリートップへ
  • 国内のECサイトの運営者を標的にした標的型メール攻撃が確認される