総当たり攻撃

総当たり攻撃とは

ブルートフォースアタック（Brute Force Attack）とも呼ばれる暗号解読の方法の一つです。このブルートフォースという言葉は、「力ずく」とか「暴力的な」という意味です。

例えば、数字だけならば1111、1112、1113のようにパスワードを一文字ずつ変えていって、正しいパスワードにぶつかるまですべての可能性を試していくので総当たり攻撃と呼びます。同様にアルファベットだけならば、aaa、aab、aacなど順に試行していきます。したがってパスワードの文字数が多いほど解読に時間がかかることになります。

例えば、攻撃者がスマートフォンを入手してログインを試みる場合に、そのスマートフォンに4桁のパスワードが設定されているとします。パスワードは数字の組み合わせですので、パスワードの場合は0000から9999の1万通りになります。

人間が手作業で一つ一つ試行を重ねていくならば、これは大きな数字に思われますが、総当たり攻撃を仕掛けるツールなどを使ったりプログラムを組んで、コンピュータが自動的に試行してチェック、つぎの試行という手順を繰り返していくと、一瞬で総当たりが可能なレベルです。

たとえば毎秒40万回のペースで攻撃されるとした場合、数字6桁では2.5秒、数字8桁では4.1分で解読されてしまうといわれます。これが同じ桁数でも英大文字＋英小文字＋数字＋記号を全て使用したものの場合は、英数記号6桁で18日、英数記号8桁では443年かかることになり、セキュリティレベルは非常に高くなったといえます。

総当たり攻撃のお役立ち情報

さて総当たり攻撃を回避するには、パスワードに使用できる文字の種類を多くする（アルファベットの大文字小文字の区別、数字、記号）方法がまず考えられ、複雑なパスワードポリシーでは可能な組み合わせの数は天文学的な大きさになります。さらにパスワードの文字数を多く要求する、一定回数パスワードが誤入力された場合はIDを一時的にロックするなどの方法があります。

たとえば、銀行のキャッシュカードの暗証番号は一般に4桁の数字のみですが、ほとんどの銀行のATMでは3回続けて誤って入力するとロックされるようになっています。

EC業者などのサイトでは、一般にこのようなポリシーを採用することによって総当たり攻撃等に対するセキュリティの確保に努めています。この点について、一般財団法人日本情報経済社会推進協会 (JIPDEC) によって認定されているのがPマーク(プライバシーマーク)です。これは個人情報を適切な体制のもとで管理していることを証明するためのマークで、認定された業者はサイトにPマークのシールを表示することが認めらています。

もちろん総当たり攻撃に限らず個人情報やセキュリティに対する攻撃手段は日々進化を続けている上に、また攻撃者が使用するコンピュータの性能も継続的に向上していることから、EC業者の側でもPマークを取得したから安全性が確保されたと考えるのではなく、絶えずセキュリティレベルを高く維持することが大切です。