ブルート・フォース攻撃とその阻止方法

Risk Factors

Likelihood

Complexity

Business Impact

ブルート・フォース

ブルート・フォース攻撃とは?ブルート・フォース攻撃は、アカウントやファイルなどの保護された情報に不正アクセスするために、ユーザ名とパスワードの組み合わせまたはハッシュ化トークンを割り出す手段です。ブルート・フォース攻撃は試行錯誤による攻撃手法です。ロジックを利用するか、キーボードのキーのすべての組み合わせを試すことにより、資格情報、ファイル・パス、URLなどを推測します。多くの場合、この攻撃の実行者は、マルウェアなどのツールを使用してブルート・フォース攻撃のプロセスを自動化しています。このような自動化攻撃は、さまざまな情報源への攻撃の分散、または保護された内部アカウントへのマルウェアによる攻撃によって実現します。Hydra、Chaos、CrackMapExec、PoshC2などの広く知られているツールはすべて、ブルート・フォース機能を備えています。このようにしてアクセスできるようになった攻撃者には、財務情報へのアクセス、マルウェアの拡散、システムの乗っ取りなどが可能になります。ブルート・フォース攻撃に対する脆弱性となる侵入の糸口がいくつかあります。#### SMB/CIFSへのブルート・フォース攻撃 サーバ・メッセージ・ブロック(SMB)とCommon Internet File System(CIFS)は、Windowsで最も広く使用されているネットワーク・ファイル共有プロトコルです。どちらにもブルート・フォース攻撃に対する脆弱性があります。ユーザ・アカウントにアクセスできるようになった攻撃者は、ファイルへのアクセス、横方向への移動、権限の昇格などを実行できます。#### SSHへのブルート・フォース攻撃 セキュア・シェル(SSH)は、安全でないネットワーク上で暗号化通信を実現するネットワーク・プロトコルです。リモート・ログイン、コマンド実行、ファイル転送などにSSHが使用されています。SSHへのブルート・フォース攻撃は多くの場合、攻撃者が何千台ものサーバ上で一般的なユーザ名とパスワードの組み合わせを試し、実在のアカウントに一致するまでそれを継続することで成立します。#### DNSへのブルート・フォース攻撃 DNSへのブルート・フォース攻撃では、パスワードやユーザ名を推測することなく、サイト上のすべてのサブドメインを特定できます。攻撃者はスクリプトなどのツールを使用して、一見正当に見えるクエリを送信します。この攻撃を使用して、利用可能なすべてのサブドメイン、ホスト名、およびDNSレコードを知ることができます。その目的は、ネットワーク全体で脆弱性を洗い出すことにあります。#### RDPへのブルート・フォース攻撃 RDPへのブルート・フォース攻撃は、手間がかからず比較的容易に実行できます。このタイプのブルート・フォース攻撃は、成功率は低いものの、弱いパスワードや使い回されているパスワードが多い場合にはきわめて効果的です。攻撃者は弱いパスワードや有効なログイン資格情報を見つけるために、RDPアカウントに対してブルート・フォース攻撃を実行します。パスワードまたは有効なログイン資格情報の入手に成功した攻撃者は、1つのデバイスから複数のRDPセッションを容易に開始して、ネットワーク上の多数のデバイスを制御できます。新型コロナウイルスによる在宅勤務の大幅な拡大により、ブルート・フォースおよびその他のRDPへの攻撃に対する懸念は急速に増大しています


ブルート・フォース攻撃からの保護 パスワードの割り出しを困難にするには、最短の長さと複雑さの要件などの厳格なパスワード・ポリシーをIT管理者が適用する必要があります。可能であれば、多要素識別も有効にすべきです。ユーザ・アカウントについては、パスワードの推測を防ぐために、ログイン失敗回数を制限するロックアウト・ポリシーを使用します。自動化されたブルート・フォースを阻止するために、WebアプリケーションでCAPTCHAを使用することもできます。ブルート・フォース攻撃の検知は、復号を使用することにより強化できます。多くの場合、ブルート・フォース攻撃は、その活動を隠匿するために、暗号化したプロトコル上で実行されます。たとえば、ブルート・フォース攻撃の対象は、失敗したログインの試行が記録されないRDPであることが少なくありません。また、一部のActive Directoryおよびデータベース・プロトコルでもブルート・フォース攻撃が頻繁に見られます。このため、TLSのように業界で広く使用されているプロトコルや、Kerberos、MS-RPC、SMBv3といったMicrosoftプロトコルに対する復号機能をセキュリティ・ツールが備えていることが重要です。


ブルート・フォースの歴史

暗号解読で使用されるブルート・フォース技法は現代のコンピュータが現れる前から存在していましたが、現代のブルート・フォース攻撃の最も古い記録のいくつかが、暗号学者であるWhitfield Diffie氏とMartin Hellman氏による1977年の論文に残されています。ブルート・フォース攻撃は、効率面で特に優れた攻撃手段ではありませんが、歴史があり、最も信頼性に富んだ攻撃手法の1つです。この攻撃手法は現在もまだ広く使用されており、2020年には発見の報告件数が増加しています。