この記事は機械翻訳されました。
総当たり攻撃攻撃とは、悪意のある攻撃者がユーザー名やパスワードなどのデジタル認証情報を推測してプライベートシステムにアクセスするために使用する方法です。
総当たり攻撃とは?
総当たり攻撃攻撃では、悪意のある人物は、正しいものが見つかるまで、考えられるすべてのユーザー名とパスワードの組み合わせを体系的に試みることで、システム、アカウント、またはデータに不正にアクセスしようとします。 コードやソーシャルエンジニアリングの脆弱性を悪用するより高度な攻撃とは異なり、総当たり攻撃は、認証認証情報を解読するために永続性と演算能力に依存しています。
総当たり攻撃を仕掛けるために、ハッカーは自動化されたツールを使用して、正しい組み合わせを推測するまで、数千回または数百万回のログイン試行を迅速に送信します。
2024年のIBMデータ 侵害コストレポートによると、漏洩/侵害認証情報は最も一般的な攻撃ベクトルであり、侵害の約16%を占め、侵害あたりの平均コストは481万ドルでした。
総当たり攻撃のしくみ
総当たり攻撃は、生の演算能力と自動化を活用して認証システムを克服します。
総当たり攻撃の典型的な仕組み:
- ターゲットの識別: 攻撃者は、ログインページ、認証API、または暗号化システムを標的にします。
- 情報収集: 彼らは、ユーザー名の構造、パスワード ポリシー、または以前にリークされた認証情報 アソシエイト に関する利用可能な情報を収集します。
- 自動試行: 攻撃者は、専用のツールを使用して多数の認証情報の組み合わせを生成してテストし、それらをターゲットシステムに自動的に送信します。
- アカウント 漏洩/侵害および悪用: 攻撃者が有効な認証情報を発見すると、漏洩/侵害アカウントと同じレベルのアクセス権を取得し、データ漏洩、ネットワークを介した横移動、または永続的なアクセスの確立につながる可能性があります。
ユーザー名とパスワードの組み合わせは、完全にハッキング防止できるものではありません。十分な時間と計算リソースがあれば、攻撃者は最終的に総当たり攻撃を通じて任意の組み合わせを解読することができます。 しかし、認証情報が複雑になればなるほど、より多くの時間とリソースが必要になるため、強力なパスワードポリシーと、さらに最新のセキュリティ対策が不可欠です。
総当たり攻撃 attacks の種類
Simple 総当たり攻撃 attack
単純な総当たり攻撃攻撃では、悪意のある攻撃者は、自動化されたツールを使用して、ターゲットについて知っている可能性のある情報に基づいて、または一般的なパスワードパターンを使用して、さまざまな文字の組み合わせを体系的に試します。 このアプローチは、自動化されたツールよりも人間の直感と論理的な推論に依存しているため、ITの拡張性は低くなりますが、パスワードが弱いアカウントや予測可能なアカウントに対して効果的な場合があります。
辞書攻撃
辞書攻撃は、ランダムな文字の組み合わせを試す代わりに、事前定義された単語、フレーズ、および一般的なパスワードのリストを使用する総当たり攻撃の洗練された形式です。 辞書攻撃は、最初にパスワードの可能性が高いものをテストするため、一般的な認証情報を解読する時間が大幅に短縮されます。
「辞書」には、多くの場合、次のものが含まれます。
- 一般的なパスワード ("password123" や "管理者" など)
- 実際の辞書からの単語
- 名前、日付、一般的なフレーズ
- 以前にデータ漏洩からパスワードが流出した
逆総当たり攻撃 attack
逆総当たり攻撃攻撃では、攻撃者は既知のパスワード(多くの場合、データ漏洩から取得)から開始し、ITが属するユーザー名を見つけようとします。 この方法は、攻撃者が一般的なパスワードにアクセスでき、システム内のどのアカウントがそれらを使用しているかを確認したい場合に特に効果的です。
クレデンシャルスタッフィング
クレデンシャルスタッフィングは、以前のデータ漏洩から漏洩したユーザー名とパスワードの組み合わせを活用します。 攻撃者は、多くの人が複数のサイトで同じ認証情報を再利用していると想定しているため、既知のユーザー名/パスワードのペアをさまざまなサービスに対してテストします。
Hybrid 総当たり攻撃 attack
ハイブリッド攻撃は、辞書攻撃の要素と総当たり攻撃手法を組み合わせたものです。 これらの攻撃方法は、辞書に載っている単語から始まり、さまざまな変換や文字置換(「a」を「@」に置き換えたり、末尾に数字を追加したりするなど)を適用します。このアプローチでは、効率性と徹底性のバランスが取れているため、ITは特に危険です。
パスワードのスプレー
従来の総当たり攻撃は、1つのアカウントに対して多数のパスワードを試す攻撃とは異なり、パスワードスプレーは、多くのアカウントに対して一般的に使用される少数のパスワードを試みます。 この方法は、攻撃者がアカウントごとの試行回数を制限することでアカウントのロックアウトを回避し、システム内で少なくとも 1 つの脆弱な認証情報を見つける可能性を最大限に高めます。
総当たり攻撃の影響
総当たり攻撃 攻撃は、組織全体に広範な結果をもたらす可能性があります。
インパクトタイプ | Description |
データ漏洩 | 機密性の高い顧客情報やビジネス情報への不正アクセス |
経済的損失 | 直接的な盗難、不正な取引、総当たり攻撃 修復のコスト |
運用の中断 | セキュリティ調査および回復プロセス中にシステムがオフラインにされた |
規制上の罰則 | GDPRやCCPAなどのデータ保護規則違反(違反後) |
風評被害 | 顧客の信頼の低下によるビジネスチャンスの損失 |
さらなる漏洩/侵害 | ネットワークの横方向の移動により、アクセス後のシステムへのより深い浸透が可能 |
総当たり攻撃を防ぐ10の方法
総当たり攻撃からシステムを保護するには、多層的なセキュリティアプローチが必要です。
総当たり攻撃 prevention strategies:
強力なパスワードポリシーを実装する
推測が難しい複雑なパスワードを義務付けます。
効果的なパスワードセキュリティには、次のものが含まれます。
- 最小長は 12 〜 16 文字です。
- 大文字と小文字、数字、特殊文字の組み合わせ
- 一般的な単語や予測可能なパターンはありません
National Institute of Standard and Technology (NIST) のパスワード ガイドラインは進化を続けており、パスワードの長め、使いやすさの向上、およびパスワードレス ソリューションを推奨しています。
多要素認証(MFA)とアダプティブ多要素認証(AMFA)をデプロイします
MFA は、総当たり攻撃攻撃に対するより効果的な防御策の 1 つであり、ユーザーは次の 2 つ以上の検証要素を提供する必要があります。
- 彼らが知っていること(パスワード)
- 彼らが持っているもの(スマートフォンまたはセキュリティキー)
- 彼らが何であるか(指紋、顔認識)
Adaptive MFA (AMFA) は、デバイス、場所、行動パターンなどのリスク要因に基づいて認証要件をインテリジェントに調整することで、この保護を強化します。
アカウント ロックアウト ポリシーを実装する
アカウントを一時的にロックする前に、ログインの失敗回数を制限して、攻撃者が無制限に推測するのを防ぎます。
ベストプラクティスは、次の通りです。
- 3〜5回の試行失敗後にアカウントをロックする
- ログイン試行間のプログレッシブ遅延の実装
- 安全なアカウント回復オプションの提供
CAPTCHAシステムを使用する
CAPTCHA 課題は、人間のユーザーと自動化されたボットを区別するのに役立ちます。 ログイン試行に失敗した後にCAPTCHAを実装すると、自動化された総当たり攻撃ツールの有効性を大幅に低下させ、正当なユーザーの混乱を最小限に抑えることができます。
IP ブロッキングとレート制限を実装する
疑わしいアクセスパターンを監視および制限します。
- ブルート攻撃パターンを示すIPアドレスをブロックする
- 1 つの IP アドレスからの要求数を制限する
- 必要に応じて地理的な制限を実施する
- 認証エンドポイントのレート制限の設定
安全なパスワードストレージを採用
パスワードをプレーンテキストで保存しないでください。その代わりに:
- 強力で最新のハッシュアルゴリズム(bcrypt、Argon2、PBKDF2など)を使用する
- レインボーテーブル攻撃を防ぐためのソルティングの実装
- より堅牢な標準が出現するにつれて、ハッシュ方式を定期的に更新します
脅威インテリジェンスとリアルタイムの総当たり攻撃検出をデプロイ
継続的な監視を使用して、総当たり攻撃の試みを検出して対応します。
- セキュリティ情報およびイベント管理 (SIEM) ソリューションを使用する
- 総当たり攻撃 パターンを識別するために特別に構成された侵入検知システムをデプロイします
- ベースラインの認証動作を確立し、逸脱時に警告を発します
- 脅威インテリジェンスフィードを活用して、既知の悪意のあるIPアドレスをブロック
最小権限の原則を適用する
漏洩/侵害 アカウントによる被害を制限するには、ユーザーが職務を遂行するために必要な最小限のアクセス権限のみを持つようにします。 特に管理アカウントについては、アクセス許可を定期的に見直して監査してください。
パスワードレス認証を検討する
従来のパスワードから、より安全な認証方法に移行します。
- 生体認証
- ハードウェアセキュリティキー
- 証明書ベースの認証
- 強力なパスワードレス認証方法と統合するシングルサインオン(Single Sign-On ) (SSO)
10. 定期的なセキュリティトレーニングと意識向上
従業員に次のことを教育します。
- 強力なパスワードの作成と管理
- 認証情報を盗もうとするフィッシングの認識
- サービス間でパスワードを再利用しないことの重要性
- セキュリティインシデントの疑いを報告する方法
総当たり攻撃の最近の傾向
総当たり攻撃 サイバーセキュリティ防御の向上に伴い、攻撃は進化し続けています。
- AI-powered 総当たり攻撃: 機械学習 (ML) アルゴリズムは、攻撃者が以前の侵害からのパターン、ユーザーの行動分析、およびパスワード作成傾向の予測モデリングに基づいて、よりインテリジェントなパスワード推測を生成するのに役立ちます。
- IoT デバイスに対する総当たり攻撃:モノのインターネット (IoT) デバイスは、多くの場合、既定の認証情報が脆弱で、主要なターゲットになります。
- クラウドサービス攻撃: クラウドに移行する企業が増えるにつれ、攻撃者はクラウドサービス認証情報を標的にすることが増えています。
- APIに焦点を当てた攻撃: 認証APIは、より多くのアプリケーション(アプリケーション)がそれらに依存するにつれて、一般的なターゲットになりつつあります。
- サプライチェーン攻撃: 悪意のある攻撃者は、ベンダーシステムのセキュリティの弱さを狙って、大規模な組織にアクセスします。
エンタープライズ 総当たり攻撃 防御戦略
複雑なインフラストラクチャを持つ組織には、包括的な保護アプローチが必要です。
- すべてのシステムで認証ログを一元化し、一元的な監視を実現
- Identity Governance を実装して、過剰な許可を自動的に検出して修復する
- 継続的な検証を必要とするゼロトラストアーキテクチャのデプロイ
- 総当たり攻撃を専門に監視するSOC(Security Operation Centers)の設置
- 特に認証システムを対象とした定期的な侵入テストを実施する
総当たり攻撃 攻撃検知サイン
セキュリティチームは、次のような総当たり攻撃の試みの可能性を示す指標を監視する必要があります。
- ログイン試行の失敗が異常に急増
- ログイン試行が通常とは異なる時間に発生する
- 通常とは異なる地理的な場所からの認証試行
- 同じIPアドレスから異なるユーザーアカウント間で複数回のログイン試行
- 予測可能なパターンに従った連続したユーザー名の試行
- 認証エンドポイントへの異常なトラフィック量
総当たり攻撃 attack よくある質問
Q: 総当たり攻撃と辞書攻撃の違いは何ですか?
ある: 総当たり攻撃攻撃では、悪質な人物は、考えられるすべてのキャラクターの組み合わせを系統的に試みます。 辞書攻撃では、可能性のあるパスワードの事前定義されたリストが使用されるため、ITはより効率的になりますが、包括的でなくなる可能性があります。
Q: 総当たり攻撃はどのくらいの速さでパスワードを解読できますか?
ある: 所要時間は、いくつかの要因によって異なります。
- パスワードの長さと複雑さ
- 攻撃者が利用できる演算能力
- クラッキングアルゴリズムの効率
- パスワードが標準辞書に表示されるかどうか
Q: クラウドサービスは総当たり攻撃に対して脆弱ですか?
ある: クラウドサービスは一般に公開されているため、攻撃者はクラウドサービスを見ることができます。彼らが保護するデータの価値が高いため、彼らは魅力的なターゲットになります。これに対処するために、クラウドプロバイダーは通常、自動ロックアウト、MFA、異常検出などの追加のセキュリティ対策を実装してこれに対処します。
総当たり攻撃の一歩先を行く
Oktaで総当たり攻撃攻撃やその他のアイデンティティベースの脅威から強固な保護を手に入れましょう。
