ブルート フォース攻撃は、ハッカーの戦略における最も古い手法の 1 つですが、依然として信じられないほど効果的です。誰かがあなたの金庫の組み合わせをたゆまなく推測しようとしているところを想像してみてください。ただし、それは 1 人ではなく、毎秒何百万もの組み合わせをテストする強力なアルゴリズムです。
この記事では、ブルート フォース攻撃の仕組みとそのさまざまな種類、そして最も重要なブルート フォース攻撃を効果的に防ぐ方法について詳しく説明します。システムを保護し、サイバー犯罪者を出し抜くための重要な戦略、プラットフォーム固有の防御、高度なツールについて説明します。
ブルートフォース攻撃とは何ですか?
Web 開発者が直面する可能性のある最も一般的な攻撃の 1 つは、ブルート フォース攻撃です。ここで、攻撃者は、正しい組み合わせが見つかるまで、文字、数字、記号の各組み合わせを試行錯誤的に試すアルゴリズムを使用します。
この種の攻撃の難しい点は、その単純さと持続性です。パスワードはセキュリティ システムの重要な部分であるため、簡単に発見してブロックできるような巧妙なトリックや特別な抜け穴はありません。
ブルート フォース攻撃は人を選ぶものではなく、個人アカウントから大企業システムに至るまで、手に入るものはすべて標的となります。ただし、これらの攻撃の影響は、多くの場合、問題のプラットフォームによって異なります。 WordPress 管理者ログインが侵害されると、Web サイトが改ざんされたり、顧客データが盗まれたりする可能性があり、一方、SSH ブルート フォース攻撃では、企業のサーバー インフラストラクチャ全体への水門が開かれる可能性があります。
これらの攻撃は評判にも悪影響を及ぼし、コストのかかるダウンタイムを引き起こします。 e コマースや SaaS プロバイダーなど、オンライン運営に依存する企業は、侵害によって収益と顧客の信頼の両方を失うことがよくあります。 中小企業の 60% 大規模なサイバー攻撃から 6 か月以内に完了することは、これらのインシデントがいかに壊滅的なものであるかを示しています。
しかし、ブルート フォース攻撃を防ぐ方法について話す前に、ブルート フォース攻撃がどのように機能するのか、そして攻撃者が使用するさまざまな種類のブルート フォース手法について知る必要があります。
ブログを始める
世界中で NVMe ストレージと最小限の遅延を備えた最上位のハードウェアで WordPress をセルフホストします。お気に入りのディストリビューションを選択してください。
WordPress VPS を入手する
さまざまな種類のブルートフォース攻撃
ブルートフォース攻撃にはいくつかの種類があります。
- 辞書攻撃: 「123456」や「password」など、よく使用されるパスワードのリストを繰り返し試して、推測されやすいパスワードをターゲットにします。
- クレデンシャルスタッフィング: ハッカーは、過去の侵害で漏洩したユーザー名とパスワードの組み合わせを使用して、複数のアカウントにアクセスします。
- リバースブルートフォース攻撃: 既知のパスワード (「123456」や「ようこそ」など) から始めて、それを無数のユーザー名と体系的に照合して、一致するものを見つけます。これは、1 つの餌で釣りをするのと似ています。
- レインボーテーブルの攻撃: ハッシュをパスワードにマッピングする事前計算されたテーブルを利用することで、その場で各ハッシュを計算することなく、ハッシュされたパスワードをより迅速にクラッキングできます。
- パスワードのスプレー: 単一のアカウントに複数のパスワード推測を攻撃するのではなく、ロックアウトを引き起こすことなく弱点を悪用するために、多数のユーザー名でいくつかの一般的なパスワードがテストされます。
- オンラインブルートフォース攻撃: Web サイトやアプリなどのライブ システムをターゲットにします。これらはサーバーと対話しますが、潜在的なスロットリングやレート制限に直面する可能性があり、低速になるだけでなく、脆弱なログイン フォームに対して危険になります。
- オフライン ブルート フォース攻撃: 盗まれた暗号化されたパスワードのファイルに対して実行され、ハッカーがファイアウォールや監視システムによって検出されずに、自分のマシン上で復号キーを高速にテストできるようになります。
なぜこのような攻撃がこれほど蔓延しているのでしょうか?問題の大部分は私たちにあります。研究によると、 65%の人が 複数のアカウント間でパスワードを再利用します。これは泥棒にマスター キーを与えるようなものです。パスワードを 1 つ取得すると、すべてのロックを解除できる可能性があります。そして、「qwerty」のようなパスワードが毎年人気のパスワードとして依然として上位にあることも助けにはなりません。
これらの攻撃がどれほど一般的であるかを把握するために、次の統計を示します。 すべてのログイン試行の 22.6% 2022 年の e コマース Web サイトでの攻撃は、ブルート フォース攻撃またはクレデンシャル スタッフィング攻撃でした。これは、ほぼ 4 回の試行に 1 回の割合です。こうした執拗な攻撃により、企業は不正購入、顧客データの盗難、PR 上の重大な悪夢に直面しました。
さらに、ハッカーはターゲット サイトのページを調査し、サイトの特定のパラメータ要件に一致するようにブルート フォース ツールを微調整します。ログイン ページがターゲットとなるのは明らかですが、CMS 管理ポータルも攻撃者にとって人気のホットスポットです。これらには次のものが含まれます。
- ワードプレス: wp-admin や wp-login.php などの一般的なエントリ ポイント。
- マジェント: /index.php や管理パネルなどの脆弱なパス。
- Joomla!: その管理者ページは頻繁に標的となります。
- v速報: admin cp などの管理者ダッシュボードは、しばしば照準に当てられます。
良いニュースは?リスクを理解できれば戦いは半分終わります。 WordPress サイト、SSH サーバー、またはその他のプラットフォームを保護している場合でも、脆弱性がどこにあるのかを知ることが、ブルート フォース攻撃を防ぐための第一歩です。
ブルートフォース攻撃を防ぐためのベストプラクティス
ブルートフォース攻撃を阻止するには、常識と賢明な戦略を組み合わせる必要があります。家のすべてのドアと窓を施錠し、万が一に備えてセキュリティ システムを追加することを考えてください。これらのベスト プラクティスはほとんどのプラットフォームで機能し、システムを安全に保つための強力な基盤を提供し、ブルート フォース攻撃を防ぐための重要な手順となります。
強力でユニークなパスワードを使用する
弱いパスワードや再利用されたパスワードは、ブルート フォース攻撃の危険を招きます。少なくとも 12 文字の長さで、文字、数字、記号を組み合わせたパスワードを選択し、予測可能なものは避けてください。あ 研究が見つかりました 「123456」と「パスワード」は、2022 年になっても依然として最も一般的なパスワードの 1 つであることがわかりました。
多要素認証 (MFA) を実装する
MFA を使用すると、ハッカーがパスワードを推測した場合でも、携帯電話にワンタイム コードを送信するなど、追加の検証手順が必要になります。 マイクロソフトによると, MFA は、アカウント侵害攻撃を 99.2% 以上ブロックします。のガイドをご覧ください Windows 10 で 2 要素認証を有効にする方法.
アカウントのロックアウトを有効にする
アカウントを一時的にロックする前に、ログイン試行の失敗を制限します。このシンプルな機能により、ブルート フォース攻撃が途中で阻止されます。
レート制限の設定
期間内にログインを試行できる頻度を制限します。たとえば、1 分間に 5 回の試行のみを許可すると、ブルート フォース攻撃の可能性が低くなります。
異常なアクティビティを監視して対応する
侵入検知システム (IDS) などのツールを使用して、ブルート フォースの試みを早期に検出します。
最良の防御は階層化されます。これらの戦術を組み合わせ、ブルート フォース攻撃を阻止する方法を知ることで、攻撃者が成功するのがはるかに困難になります。次に、ブルート フォース攻撃が特に一般的である WordPress などの特定のプラットフォームにこれらの原則を適用する方法を検討します。
WordPress でのブルートフォース攻撃の防止
WordPress サイトはハッカーを引き寄せます。プラットフォーム上で何百万もの Web サイトが実行されているため、攻撃者はセキュリティが弱い Web サイトを見つける可能性が高いことを知っています。 WordPress に対するブルート フォース攻撃を防ぐ方法を知っていれば、大きな違いが生まれます。そして、それは思っているよりも簡単です。
デフォルトのログイン URL を変更する
ハッカーはデフォルトのログイン ページ (/wp-admin または /wp-login.php) をターゲットにします。カスタム URL への切り替えは玄関ドアを移動するようなもので、攻撃者にとっては見つけにくくなります。
セキュリティプラグインのインストール
Wordfence や Sucuri などのプラグインは、CAPTCHA、IP ブロック、リアルタイム監視などの強力なブルート フォース攻撃防止ツールを提供します。
XML-RPC を無効にする
XML-RPC は、ログイン試行のためのゲートウェイ ハッカーの悪用です。 WordPress サイトが一般的に直面するブルート フォース攻撃に対する脆弱性を軽減するには、これを無効にすることが必須です。
ログインページに CAPTCHA を追加する
CAPTCHA により、人間のみがログインできるようになり、自動化されたブルート フォース ツールがシャットダウンされます。
wp-config.php を強化する
.htaccess またはサーバー ルールを調整して、サイトのブループリントである wp-config.php へのアクセスを制限します。
定期的に更新する
古いプラグインやテーマは攻撃者にとって無防備な状態です。定期的な更新により既知の脆弱性にパッチが適用され、ブルート フォース攻撃による WordPress のリスクから保護されます。これは、WordPress サイトが陥りやすいブルート フォース攻撃から防御するための鍵となります。
これらの手順を実行すると、WordPress サイトの安全性が大幅に高まります。次に、ブルート フォース攻撃のもう 1 つの頻繁な標的である SSH サーバーの保護に取り組みます。
SSH ブルートフォースに対する保護
SSH サーバーは王国へのデジタルキーのようなものであるため、ハッカーの主な標的となります。 SSH に対するブルート フォース攻撃を防ぐ方法を知ることは、賢いだけでなく、機密性の高いシステムを保護するためにも重要です。
SSHキー認証を使用する
パスワードベースのログインには危険が伴います。 SSHキー認証への切り替え 攻撃者は推測されたパスワードではなく秘密キーにアクセスする必要があるため、セキュリティ層がさらに追加されます。これにより、SSH ブルート フォース攻撃の成功率が大幅に低下します。
ルートログインを無効にする
多くの場合、root ユーザーは SSH ブルート フォースの最初のターゲットになります。直接 root ログインを無効にし、権限が制限された別のユーザー アカウントを作成します。ハッカーはターゲットにできないものを総当たり攻撃することはできません。
UFW と Fail2Ban のセットアップ
UFW や Fail2Ban などのツールは、失敗したログイン試行を監視し、不審な動作を示す IP をブロックします。これは、SSH サーバーに対するブルート フォース攻撃を阻止するための最も効果的な防御手段の 1 つです。詳細なガイドはこちら UFW と Fail2Ban をインストール、有効化、管理する方法.
デフォルトのポートを変更する
デフォルトでは、SSH はポート 22 を使用しますが、ハッカーはそれを知っています。 SSH を標準以外のポートに移動する シンプルだが効果的なあいまいさの層を追加します。
IP ホワイトリストを使用する
SSH アクセスを特定の IP アドレスに制限します。これにより、不要なトラフィックが完全にブロックされ、ブルート フォース ツールの起動さえも阻止されます。
これらの手順を実行すると、SSH サーバーは攻撃に対してはるかに脆弱になります。ブルートフォース攻撃を防ぐ一般的な方法について説明したので、次は攻撃者が使用する特定のツールとの戦いについて話しましょう。
一般的に使用されるブルートフォース攻撃ツールとその対策方法
上記の実践はブルート フォース攻撃の防止に非常に役立ちますが、ほとんどはブルート フォース攻撃を防ぐ方法に関する一般的なものです。ただし、実際のところ、多くの攻撃者はいくつかの特定のツールを使用しており、それらに対抗する方法を知ることが非常に重要です。
Wi-Fiパスワード解析ツール
エアクラックNG: WEP、WPA、および WPA2-PSK に対する辞書攻撃を通じて Wi-Fi パスワードをクラッキングするための多用途ツールで、複数のプラットフォームで利用できます。
- 緩和: WPA3 暗号化を使用し、長くて複雑なパスワードを作成し、MAC アドレス フィルタリングを有効にし、無線侵入検知システム (WIDS) を展開します。
一般的なパスワードクラッキングツール
ジョン・ザ・リッパー: 脆弱なパスワードを特定し、ブルート フォース攻撃や辞書攻撃を使用して解読し、Windows や Unix を含む 15 以上のプラットフォームをサポートします。
- 緩和: 強力なパスワード ポリシー (最小 12 文字、高度な複雑さ) を適用し、ソルト付きハッシュを使用し、定期的なパスワードの監査とローテーションを実行します。
レインボークラック: 事前に計算されたレインボー テーブルを利用してパスワード クラッキングを高速化し、Windows と Linux の両方をサポートします。
- 緩和: ソルト付きハッシュを使用してレインボー テーブルを無効にし、bcrypt、Argon2、スクリプトなどのハッシュ アルゴリズムを適用します。
L0phtクラック: ハッシュ抽出やネットワーク監視などの高度な機能をサポートしながら、辞書、ブルート フォース、ハイブリッド攻撃、レインボー テーブルを使用して Windows パスワードを解読します。
- 緩和: 試行が失敗した後にアカウントをロックし、エントロピーを強化するためにパスフレーズを使用し、多要素認証 (MFA) を強制します。
オフクラック: 組み込みのレインボー テーブルを使用した LM ハッシュによる Windows パスワードの解析に重点を置き、多くの場合数分で完了します。
- 緩和: LM ハッシュに依存しないシステム (Windows 10 以降など) にアップグレードし、長く複雑なパスワードを使用し、SMBv1 を無効にします。
高度な多目的パスワード ツール
ハッシュキャット: ブルート フォース、辞書、ハイブリッドなど、さまざまなハッシュや攻撃をサポートする GPU 高速化ツール。
- 緩和: 強力なパスワード ポリシーを適用し、ハッシュ ファイルを安全に保存し、強力なキーで機密データを暗号化します。
デイブ・グロール: 分散ブルート フォース攻撃と辞書攻撃をサポートする Mac OS X 専用ツール。
- 緩和: Mac OS X システムを監査し、パスワード ファイル アクセスを制限し、多要素認証 (MFA) を強制します。
ネットワーク認証およびプロトコル ツール
ンクラック: さまざまなプラットフォームにわたる RDP、SSH、FTP などのネットワーク認証プロトコルを解読します。
- 緩和: ファイアウォール経由でネットワークに面したサービスへのアクセスを制限し、ログイン試行が複数回失敗した場合には IP ベースのブロックを適用し、重要なサービスにはデフォルト以外のポートを使用します。
THCヒドラ: Telnet、FTP、HTTP(S) を含む 30 以上のプロトコルに対して辞書ベースのブルート フォース攻撃を実行します。
- 緩和: CAPTCHA またはその他のメカニズムを適用して再試行を制限し、暗号化プロトコル (FTPS、HTTPS など) を利用し、安全なアクセスのために MFA を要求します
Web、サブドメイン、CMS に特化したツール
ゴバスター: Web ペネトレーション テストにおけるサブドメインとディレクトリのブルート フォース攻撃に最適です。
- 緩和: Web アプリケーション ファイアウォール (WAF) を使用し、機密ディレクトリへのアクセスを制限し、デフォルトのファイル構造を非表示または難読化します。
研究: セキュリティテスト中に、隠された Web パスとディレクトリを検出します。
- 軽減策: .htaccess またはサーバー ルールを使用してアクセスを制限し、未使用のディレクトリを削除し、機密性の高い Web パスを保護します。
げっぷスイート: ブルート フォース スキャン機能と脆弱性スキャン機能を備えた完全な Web セキュリティ テスト スイート。
- 緩和: 定期的に Web アプリケーションにパッチを適用し、侵入テストを実施し、異常なブルート フォース アクティビティを監視します。
CMSeek: テスト中に CMS の脆弱性を発見して悪用することに重点を置きます。
- 緩和: CMS プラットフォームを最新の状態に保ち、構成を保護し、保護プラグインを使用してブルート フォースの試みを制限します。
トークン、ソーシャルメディア、その他のツール
JWT クラッカー: テスト目的での JSON Web トークンのクラッキングを専門としています。
- 緩和: JWT 署名には長くて安全なキーを使用し、トークンの有効期限を短くし、弱いアルゴリズムや署名されていないアルゴリズムを拒否します。
ソーシャルボックス: ソーシャルメディアアカウントのブルートフォーステストに使用されます。
- 緩和: 試行失敗後のアカウント ロックアウトを有効にし、2 要素認証を強制し、フィッシングに対する意識をユーザーに教育します。
予測者: ブルート フォース攻撃用にカスタマイズされた単語リストを作成するための辞書ビルダー。
- 緩和: 認証情報の漏洩を監視し、脆弱なデフォルトのパスワードの使用を回避し、セキュリティのために継続的な監査を実施します。
パテーター: 多様なプロトコルと手法をサポートする多目的ブルート フォース ツール。
- 緩和: レート制限、カスタム エラー メッセージ、強力なアカウント ロックアウト メカニズムを実装して、攻撃者の行動を遅らせます。
ネットトラッカー: ブルート フォースやその他の評価を含む侵入テスト タスクを自動化します。
- 緩和: ネットワーク ログを定期的に監視し、テスト資格情報を分離し、侵入ツールが安全に管理されていることを確認します。
最終的な考えと高度なブルートフォース攻撃防止策
行動分析ソフトウェア、ハニーポット、IP レピュテーション ブロッカーなどの高度なツールを使用すると、脅威が定着する前に発見して阻止できます。これらの事前対策は、多要素認証や強力なパスワードなどの主要な対策と並行して機能し、強固な防御を構築します。
ブルート フォース攻撃を防ぐ方法を学ぶことは、長期的に考えることを意味します。賢い戦略とブルート フォース攻撃防止ツールを組み合わせることで、最も執拗な攻撃者からもシステムを保護できます。鋭敏さを保ち、順応性を保ち、サイバーセキュリティを将来への投資として扱いましょう。
