近年、インターネット上のサービスを利用する機会が増えてきました。
悪意のある攻撃者によるサイバー攻撃は日常的に行われていますが、セキュリティ対策が十分ではないまま利用されているケースもまだまだあると思います。

今回は、ID／パスワードによる認証が行われるサービスへの不正アクセス（ブルートフォース攻撃）を題材にして、セキュリティ対策の必要性をお話しします。

不正アクセス

不正アクセスには、おもに次の2種類の方法があります。

方法

1. システムの脆弱性を利用して不正にログインすること
2. 他人のパスワードを盗んで不正にログインすること

対策

「1.システムの脆弱性を利用して不正にログインすること」については、専門家による診断、テストを行って脆弱性を洗い出し、対策を講じることでリスクを抑えることができます。

「2.他人のパスワードを盗んで不正にログインすること」については、以下の対策をとることでリスクを抑えることができます。

• 推測されやすいパスワードを使わないこと
• 複雑でできるだけ長いパスワードを使うこと
• 複数の種類の文字を使うこと
• パスワード試行回数の上限を設定すること
• 2段階認証、2要素認証を用いること

※Gmailなどのような一般の利用者が使うサービスだけでなく、サーバ、ネットワーク機器へのログインパスワードなども同様です。

詳細はIPAの不正ログイン対策特集ページを参照してください。

また、すべての文字を組み合わせて総当たりで攻撃することをブルートフォース攻撃といいますが、以下に攻撃例を示します。

ブルートフォース攻撃

今回の検証ではユーザ名を指定して実行していますが、ユーザ名リストを作成して行う事もできます。

攻撃対象ユーザのパスワード： avh
3文字以内の小文字アルファベット18278通りの組み合わせで検証しています。

3文字以内の場合は13分でパスワードを突破できました。脆弱なパスワードを使用している場合は簡単に突破できてしまうことがわかります。
先に記載している対策を行う事でリスクを軽減することができるので、しっかり対策しましょう。

今回の検証では、sshによるログインを試みましたが、http(s)やFTPなどでも同じように攻撃できます。

また、成功するまでの間に認証失敗を示すログも大量に出力されていたことから、システム管理者側でアクセスログの監視を行うなど不正アクセスに気づく仕組みづくりも必要です。

まとめ

今回はブルートフォース攻撃を例にセキュリティ対策の重要性を説明しました。

「中小企業におけるセキュリティの重要性」の記事でも触れていますが、情報漏洩などのセキュリティ事故が発生した場合には甚大な被害が発生します。

事故が起こる前にはどこかで「自分は大丈夫だろう」という気持ちがあると思いますが、事故が起こってからでは遅いので、しっかりと対策しましょう。

参照
　IPA:不正ログイン対策特集ページ