総当たり攻撃（ブルートフォース攻撃）とは？ゆるーくわかりやすく解説

はるか

総当たり攻撃って聞いたことある？

ふゅか

うん！ブルートフォース攻撃とも言うよね。パスワードとかの組み合わせを全部試す手法だよ！

1. 総当たり攻撃の要点

2. 総当たり攻撃（Brute Force Attack）とは？

総当たり攻撃（ブルートフォース攻撃：Brute Force Attack）とは、パスワードを解読するために、可能な組み合わせをすべて試す手法のことです。

2.1. 英語から推測すると

「Brute Force Attack」を英語から直訳や推測すると、「力づくの攻撃」や「強引な攻撃」といった意味になります。

• Brute: 「野蛮な」「力任せの」というニュアンスがあります。この場合、「洗練されていない方法で、ただ力任せに進める」といったイメージです。
• Force: 「力」や「強制」を意味します。
• Attack: 「攻撃」という意味です。

これを踏まえると、「Brute Force Attack」は「力任せに攻撃する」というニュアンスで、システムや暗号を解読するために考えなしにすべての可能性を試す方法を指しています。

ふゅか

「Brute Force Attack」って英語の意味、わかる？

はるか

直訳なら「力任せの攻撃」。

3. 総当たり攻撃の仕組み

総当たり攻撃の基本的な仕組みは以下の通りです。

3.1. すべての組み合わせを試す

攻撃者は、対象となるシステムにアクセスするため、パスワードの可能な組み合わせを1つずつ試します。例えば、4桁の数字パスワードの場合、0000から9999までの10,000通りを順番に試します。

はるか

仕組みは簡単。全パターン試すだけ。

ふゅか

例えば4桁のパスワードなら、0000から9999まで全部試すってことだよね！10,000通り！

3.2. 成功するまで続ける

正しい組み合わせが見つかるまで試行を続けます。このため、試行可能な組み合わせが多いほど、成功までの時間が長くなります。

4. 攻撃対象

総当たり攻撃の対象となるものは多岐にわたります。主な例を挙げます。

• ログイン画面
  ユーザー名とパスワードを入力する画面があるシステムは、攻撃対象となりやすいです。
• Wi-Fiルーター
  暗号化方式が弱い場合、Wi-Fiパスワードが総当たりで攻撃されることがあります。

5. 総当たり攻撃の特徴

5.1. メリット（攻撃者視点）

• 単純な手法
  特別な技術がなくても実行可能で、自動化ツールを利用すれば簡単に開始できます。
• 理論上の成功率
  試行回数が十分であれば、必ず正しいパスワードを見つけられます。

5.2. デメリット（攻撃者視点）

• 時間がかかる
  パスワードの長さや複雑さに比例して、試行回数が増えるため、成功までの時間が非常に長くなる場合があります。
• 検知されやすい
  システムによっては異常な試行回数が検知され、不正アクセスとして遮断されることがあります。

6. 総当たり攻撃への対策

総当たり攻撃に対抗するためには、以下のような方法があります。

6.1. パスワードを強化する

• 長くて複雑なパスワードを使用する
  例：「aB3$#xYz7Qw」など、大文字・小文字・数字・記号を混ぜる。
• 辞書に載っている単語を避ける
  「password123」のような簡単なパスワードは避けましょう。

6.2. アカウントロック機能を有効化する

一定回数の失敗後にアカウントを一時的にロックする機能を利用することで、攻撃を無力化できます。

6.3. 多要素認証（MFA）を導入する

パスワード以外の認証方法（例：SMSコードや認証アプリ）を追加することで、攻撃の難易度を上げることができます。

6.4. レート制限を設定する

一定時間内のログイン試行回数を制限することで、総当たり攻撃を防ぐことができます。