Ataques de fuerza bruta - Cómo descifran contraseñasとは

Lectura de 2 min aprox.

ブルートフォース攻撃 (総当たり攻撃) とは、パスワードの全組み合わせを機械的に 試行し、正解を見つけ出す攻撃手法です。「brute force」は「力任せ」を意味し、 暗号解読やパスワード突破において最も原始的かつ確実な方法とされています。 計算資源さえあれば理論上はどんなパスワードも突破可能ですが、パスワードの 長さと複雑さに応じて必要な時間は指数関数的に増加します。

歴史的背景

ブルートフォース攻撃は暗号解読の歴史とともに存在してきました。第二次世界大戦中の エニグマ暗号解読も、広義にはブルートフォースの要素を含んでいます。 コンピュータの性能向上に伴い、1990 年代には DES 暗号 (56 ビット鍵) が ブルートフォースで解読可能になり、より強力な AES への移行が進みました。 現在では GPU やクラウドコンピューティングの活用により、攻撃者の計算能力は 飛躍的に向上しています。2024 年時点では、最新の GPU を使えば 毎秒数十億回のハッシュ計算が可能であり、短いパスワードの解読は一瞬で完了します。

ブルートフォース攻撃と辞書攻撃の違い

純粋なブルートフォース攻撃は 1 文字目から順にすべての文字の組み合わせを試しますが、 辞書攻撃はよく使われるパスワードのリストを優先的に試す変種です。 「password123」や「qwerty」のような単純なパスワードに対しては辞書攻撃の方が はるかに高速です。パスワードスプレー攻撃は、少数のよく使われるパスワードを 多数のアカウントに対して試す手法で、アカウントロックアウトを回避しやすい 特徴があります。実際の攻撃では、これらの手法が組み合わせて使われます。

攻撃にかかる時間の目安

英小文字のみの 6 文字パスワードなら約 3 億通りで、現代の GPU では数秒で解読されます。 英大文字・英小文字・数字・記号を含む 12 文字パスワードでは約 475 京通りとなり、 解読に数千年以上かかります。16 文字に伸ばすと天文学的な組み合わせ数になり、 事実上解読不可能です。パスつく.com のエントロピー表示を参考に、 十分な強度のパスワードを生成しましょう。

攻撃手法の詳細は、セキュリティ攻撃手法の解説書 (Amazon)で学べます。

現場での使用例

「先月のインシデント対応で、ブルートフォース攻撃のログを分析したところ、 1 時間あたり 50 万回以上のログイン試行が確認されました。レート制限の導入が急務です。」

攻撃の仕組み

効果的な防御策

ブルートフォース攻撃への最も効果的な対策は、十分に長くランダムなパスワードを 使用することです。パスつく.com で 16 文字以上のランダムパスワードを生成すれば、 現在のコンピュータ性能では解読に天文学的な時間がかかります。 サービス側ではアカウントロックアウト (一定回数の失敗でアカウントを一時停止)、 レート制限 (試行回数の制限)、CAPTCHA の導入が有効です。二段階認証を併用すれば、 パスワードが突破されても不正ログインを防げます。サイバー防御の実践ガイド (Amazon)も防御策の理解に役立ちます。