ブルートフォースとは

ブルートフォース(Brute force)とは、総当たり、力ずく、強引などの意味を持ち、ネットワーク上の攻撃(アタック)という単語とセットで用いられる。

ブルートフォース攻撃は、下手な鉄砲も数撃ちゃ当たるという考えのもとに行われる乱撃のようなアタック方法のことをいう。端から端まで、考えられる組み合わせを片っ端からツールを使って送信するというやり方である。

一般に、ブルートフォースの場合、ID(アカウント)に対するパスワード(パスフレーズ)が対象となる。例えばウェブサイト上で何らかのサービスを受けようとすると、会員もしくはユーザ登録などの手続きが必要になる。その時に入力するアカウント名やユーザ名などがIDと呼ばれているものである。本名のことではない。そしてそのIDを使って、他人が勝手にサービスを受けたり、悪用されたりしないために設定するのが、パスワードである。こうすることで、他人が勝手にログインできないようにしている。

ブルートフォースでは、このパスワードを対象に攻撃する。例えば、「test」というIDがデータベースに存在した場合、この「test」に対するパスワードに対して、総当たり攻撃を行う。その場合、二桁の数字のみで設定していたとしたら、0から99までの通し番号を順番に打ち込んでいけば、どれかがヒットすることになって、ブルートフォース アタックは成功する。

しかし、普通は十桁前後、あるいはそれ以上設定されている。人間が手作業で調べられるのは、四桁ぐらいで、五桁ぐらいになったらもう面倒くさくてやってられなくなる。そこでブルートフォース アタック専用のツールが使われる。この場合、0から9だけでなく、AからZ、更には文字の大小、記号などを含めたより複雑なものまで自動的に組み合わせて出力し、送信することができる。

ブルートフォースのプログラムは、繰り返し処理をするだけのものであるため、知識のある人であれば作るのもそう難しくはない。しかし、守る側も負けてはいない。一つのアカウントに対して、認証を何度か失敗すると、そのアカウントを一定時間ロックしたり、ロックを解除するのに本人確認の手続きを要求したりするなどブルートフォース 攻撃の対策を講じている。

また、日本のサーバなどでは、特定のファイルに海外からのアクセスを全て拒否するなどの設定が施されており、同じネット関連でも分野によっては、そもそもブルートフォース アタックが成立しない対策が施されていることも多い。世界中を飛び回る人は、日本以外という設定ができないため、オリジナル設定が必要になってくるが。

尚、リバースブルートフォースというのは逆パターンであり、ブルートフォースと違い、パスワードの対象を一つだけに絞って、アカウント名に総当たりする方法のこと。このケースでは、パスワードの桁数や英数字、記号などの組み合わせを増やすことで、ターゲットにされにくくするという対応策がある。

その他、パスワードスプレーというのもあり、こちらは複数のIDを対象にし、これらに同一のパスフレーズを送信するという行為を何度も行う。

ブルートフォース アタックの意味を簡潔に説明すると

総当たり攻撃のことである。