ブルートフォース攻撃

Bart Lenaerts-Bergmans - 11月 8, 2023

ブルートフォース攻撃とは？

ブルートフォース攻撃は、試行錯誤のアプローチを使用して、ログイン情報、認証情報、暗号化キーを体系的に推測します。攻撃者は、最終的に推測したものが正しいものになるまで、ユーザー名とパスワードの組み合わせを送信します。

成功すると、アクターは正当なユーザーを装ってシステムに入り、検知されるまで内部に留まることができます。彼らはラテラルムーブメントするためにこの時間を使い、バックドアを設置し、将来の攻撃で使用するシステムに関する知識を得て、そして言うまでもなくデータを盗みます。

ブルートフォース攻撃は、パスワードが存在する限り、その危険があります。以前から広く利用されている攻撃であるだけでなく、リモートワークへの移行により増加しています。

ブルートフォース攻撃の種類

単純なブルートフォース攻撃

単純なブルートフォース攻撃では、自動化とスクリプトを使用してパスワードを類推します。典型的なブルートフォース攻撃は、毎秒数百の類推を行います。大文字と小文字が混在していないパスワードや、「123456」または「password」などの一般的な表現を使用するパスワードなど、単純なパスワードは数分で解読できます。ただし、その速度は桁違いに速くなる可能性があります。2012年にさかのぼると、研究者はコンピュータークラスターを使用して、毎秒最大3,500億個のパスワードを類推しました。

辞書攻撃

辞書攻撃は、一般的な単語とフレーズの組み合わせを試みます。もともと、辞書攻撃は数字だけでなく辞書の単語も使用していましたが、最近の辞書攻撃は以前のデータ侵害によって漏洩したパスワードも使用します。これらの漏洩したパスワードはダークウェブで販売されており、通常のWebでも無料で見つけることができます。

新しい類推を作成するために類似した文字を置き換える辞書ソフトウェアが利用可能です。例えば、ソフトウェアは小文字の「l」を大文字の「I」に置き換えたり、小文字の「a」を「@」記号に置き換えたりします。ソフトウェアは、ロジックにより成功する可能性が最も高い組み合わせのみを試します。

クレデンシャルスタッフィング攻撃

長年にわたって、85億を超えるユーザー名とパスワードが漏洩しています。これらの盗まれた認証情報は、ダークウェブ上の悪意のあるアクターの間で販売され、スパムからアカウントの乗っ取りまであらゆるもので使用されます。

クレデンシャルスタッフィング攻撃では、これらの盗まれたログインの組み合わせが多数のサイトで使用されます。クレデンシャルスタッフィングは、人々がログイン名とパスワードを繰り返し再利用する傾向があり、ハッカーが電力会社の個人のアカウントにアクセスできると、同じ認証情報でその人のオンライン銀行口座にもアクセスできる可能性が高くなるため、採用されます。

ゲーム、メディア、小売業が狙われやすい標的になる傾向がありますが、クレデンシャルスタッフィング攻撃は一般的にすべての業界に対して仕掛けられます。

逆ブルートフォース攻撃

通常のブルートフォース攻撃では、攻撃者は既知のキー（通常はユーザー名またはアカウント番号）から始めます。次に、自動化ツールを使用して、一致するパスワードを見つけます。逆ブルートフォース攻撃では、攻撃者はパスワードを知っており、ユーザー名またはアカウント番号を見つけることを必要としています。

ハイブリッドブルートフォース攻撃

ハイブリッドブルートフォース攻撃は、辞書攻撃とブルートフォース攻撃を組み合わせたものです。多くの場合、パスワードの最後に一連の数字（通常は4つ）を付けます。これらの4つの数字は通常、出生や卒業など、彼らにとって重要な年であるため、最初の数字は通常1または2です。

逆ブルートフォース攻撃では、攻撃者は辞書攻撃を使用して単語を提供し、最後の部分（4つの数字）に対するブルートフォース攻撃を自動化します。これは、辞書攻撃を単独で使用したり、ブルートフォース攻撃を単独で使用したりするよりも効率的なアプローチです。

パスワードスプレー攻撃

従来のブルートフォース攻撃は、単一のアカウントのパスワードを類推しようとします。パスワードスプレーは反対のアプローチを取り、1つの共通のパスワードを多くのアカウントに適用しようとします。このアプローチにより、パスワードの試行回数を制限するロックアウトポリシーに捕らわれることを回避できます。パスワードスプレーは、通常、シングルサインオン（SSO）およびフェデレーション認証を使用するクラウドベースのアプリを使用する標的に対して使用されます。

ボットネット

ブルートフォース攻撃は数字のゲームであり、大規模に実行するには多くの計算能力が必要です。ハイジャックしたコンピューターのネットワークを展開して攻撃アルゴリズムを実行することで、攻撃者は独自のシステムを実行するコストと手間を省くことができます。さらに、ボットネットを使用すると、匿名性のレイヤーが追加されます。ボットネットは、あらゆる種類のブルートフォース攻撃で使用できます。

ブルートフォース攻撃の背後にある動機

攻撃者はブルートフォース攻撃を使用して次のことができます。

機密データを盗用する
マルウェアを拡散する
悪意のある目的でシステムをハイジャックする
Webサイトを利用不可にする
広告から利益を得る
Webサイトのトラフィックを委託広告サイトに再ルーティングする
広告主に販売するデータを収集するために、サイトをスパイウェアに感染させる

クレデンシャルスタッフィング攻撃を開始するために必要な技術スキルのレベルは非常に低く、同様に非常に低コストです。わずか$550で、コンピューターを持っている人なら誰でもクレデンシャルスタッフィング攻撃を開始できます。

ブルートフォース攻撃の仕組み

攻撃者は自動化されたツールを使用してブルートフォース攻撃を実行し、独自のスキルが不足している人は、マルウェアキットの形でダークウェブでそれらを購入できます。また、認証情報のスタッフィングやハイブリッドブルートフォース攻撃の一部として使用できる漏洩した認証情報などのデータを購入することもできます。これらのリストはパッケージの一部として提供される場合があり、売り手は自動化ツール、および管理コンソールなどの他の付加価値とともにリストを含めます。

攻撃者がツールをセットアップし、それをリストにシードすると、関連する場合は攻撃が開始されます。

ブルートフォース攻撃はボットネットで実行できます。ボットネットは、正当なユーザーの同意や知識なしに処理能力を提供するハイジャックされたコンピューターシステムです。上記のマルウェアキットと同様、ボットキットはダークウェブでも購入できます。昨年、ボットネットを使用した侵害が、銀行、医療センター、教育機関などに属するSSHサーバーで起きました。

ブルートフォース攻撃はリソースを集中的に消費しますが、効果的です。また、多段階攻撃の最初の部分である場合もあります。この例は、CrowdStrikeブログで詳細に説明されており、ブルートフォース攻撃が、認証されていない権限を完全なドメイン権限に昇格できるマルチステップエクスプロイトの一部であったケースがあります。

ブルートフォース攻撃に使用されるツール

多くのツールは無料で、さまざまなプラットフォームやプロトコルに対して機能するオープンインターネットで利用できます。以下にいくつかの例を紹介します。

Aircrack-ng：Aircrack-ngは、無料で利用できるブルートフォースWiFiパスワードツールです。Wi-Fi 802.11への攻撃を実行するためのWEP/WPA/WPA2-PSKクラッカーと分析ツールが付属しており、生の監視モードをサポートする任意のNICに使用できます。
DaveGrohl：DaveGrohlは辞書攻撃をサポートするMac OS X用のブルートフォースツールです。攻撃者が同じパスワードハッシュで複数のコンピューターから攻撃を実行できるようにする分散モードを備えています。
Hashcat：Hashcatは、無料で利用できるCPUベースのパスワードクラッキングツールです。Windows、Mac OS、およびLinuxシステムで動作し、単純なブルートフォース、辞書、ハイブリッドなど、さまざまな種類の攻撃で機能します。
THC Hydra： THC Hydraは、ネットワーク認証のパスワードを解読します。HTTPS、FTP、Telnetなど、30を超えるプロトコルに対して辞書攻撃を実行します。
John the Ripper：これは、Unixシステム用に開発された無料のパスワードクラッキングツールです。現在、Windows、OpenVMS、DOSを含む15種類のプラットフォームで利用できます。John the Ripperは、パスワードで使用されているハッシュの種類を自動的に検知するため、暗号化されたパスワードストレージに対して実行できます。
L0phtCrack：L0phtCrackは、単純なブルートフォース攻撃、辞書攻撃、ハイブリッド攻撃、およびレインボーテーブル攻撃で使用され、Windowsパスワードを解読します。
NL Brute：少なくとも2016年からダークウェブで利用できるRDPブルートフォースツールです。
Ophcrack：Ophcrackは、無料のオープンソースWindowsパスワードクラッキングツールです。レインボーテーブルを介してLMハッシュを使用します。
Rainbow Crack： Rainbow Crackは、攻撃実行中に使用するレインボーテーブルを生成します。レインボーテーブルは事前に計算されているため、攻撃の実行に必要な時間を短縮できます。

ブルートフォース攻撃に対する最良の防御は何ですか？

多要素認証を使用する

ユーザーがパスワードと指紋の両方、またはパスワードとワンタイムセキュリティトークンなど、複数の形式で認証を行う必要がある場合、ブルートフォース攻撃が成功する可能性は低くなります。

ITハイジーンを実行する

環境全体での認証情報の使用を可視化し、パスワードの定期的な変更を要求します。

脆弱なパスワードを拒否するポリシーを設定する

パスワードは長いほど良いとは限りません。本当に有効なものにするには、大文字と小文字を特殊文字と混合して使用します。末尾に4つの数字を追加しないようにするとか、1や2で始まる数字を避けるなど、パスワードのベストプラクティスをユーザーに教育します。パスワード管理ツールを提供して、ユーザーが憶えやすいパスワードに頼らないようにし、変更されていないデバイスで既定のパスワードを表示する検出ツールを使用します。

プロアクティブな脅威ハンティングを実装する

脅威ハンティングは、標準的なセキュリティ対策が見逃す可能性のある攻撃の種類を明らかにできる可能性があります。ブルートフォース攻撃がシステムに正常に侵入するために使用された場合、脅威ハンターは、正当な認証情報を装って動作していても、攻撃を検知できます。

GET TO KNOW THE AUTHOR

バートは、クラウドストライクの脅威インテリジェンスのシニアプロダクトマーケティングマネージャーであり、脅威の監視、検知、インテリジェンスにおいて20年を超える経験を持っています。ベルギーの金融機関でネットワークセキュリティ運用アナリストとしてキャリアをスタートさせた後、米国東海岸に移り、3Com/Tippingpoint、RSA Security、Symantec、McAfee、Venafi、FireEye-Mandiantなどの複数のサイバーセキュリティ企業に入社し、製品管理と製品マーケティングの両方の役割を果たしました。