ブルートフォース攻撃

ブルートフォース攻撃は、攻撃者がパスワードや暗号鍵を解読する際に、考えられるあらゆる文字列の組み合わせを順番に試行する古典的な攻撃手法です。日本語では「総当たり攻撃」と呼ばれ、英語の「brute force（力ずく）」が語源となっています。

攻撃の特徴は、特殊な脆弱性や事前情報を必要とせず、十分な計算時間さえあれば理論上どんなパスワードでも解読できる点です。ただし、解読に必要な時間はパスワードの長さと文字種に応じて指数関数的に増加します。例えば、4桁の数字のみのパスワードは1万通りで瞬時に解読されますが、8桁の英数字記号混在パスワードは数兆通りに達し、現実的な時間では破られにくくなります。

主な対策は次のとおりです。①パスワードの長さと複雑度を確保する（12文字以上で英大文字・小文字・数字・記号を組み合わせる）。②ログイン試行回数の制限とアカウントロック機能を導入する。③多要素認証（MFA）を有効化する。④CAPTCHAで自動化攻撃を遮断する。⑤ログイン失敗時に応答時間を遅延させる仕組みを導入する。関連する攻撃として、よく使われる単語を試す辞書攻撃や、漏洩したID・パスワードを使い回すパスワードリスト攻撃があります。