ブルートフォース攻撃は認証情報を総当たりで試して突破を狙う手口です。この記事では辞書攻撃との違い、有効な防御策、SG試験で問われるひっかけポイントと試験対策を解説します。

sg security_measures unauthorized_access threat_vulnerability access_control sg-security-measures

まず結論

  • ブルートフォース攻撃とは、IDとパスワードの組み合わせを総当たりで試して認証を突破する攻撃であり、SG試験では「どの認証対策が有効か」を判断させる問題として出題される。

直感的な説明

ブルートフォース攻撃は、

👉「鍵を1つずつ試して開ける」

イメージです。

例えば、

  • 0000 → 0001 → 0002 … と順番に試す
    👉 いつか正解に当たる

👉 シンプルだけど確実な攻撃です。

定義・仕組み

ブルートフォース攻撃(総当たり攻撃)は、

👉 考えられるすべてのパスワードを試すことで
👉 正しい認証情報を見つける攻撃です。

攻撃の特徴

  • 技術的に高度ではない
  • 時間をかければ成功する可能性がある
  • パスワードが短い・単純だと危険

関連する攻撃

  • リバースブルートフォース攻撃
    → パスワードを固定してIDを総当たり

  • 辞書攻撃
    → よく使われるパスワードを試す

👉 SG試験ではこれらの違いを問われる

どんな場面で使う?

攻撃される場面

  • ログイン認証(ID・パスワード)
  • Webサービス
  • 社内システム

防ぐ場面(対策)

  • アカウントロック(一定回数失敗で停止)
  • 多要素認証(MFA)
  • パスワードの複雑化・長文化
  • ログイン試行の制限(レート制限)

SG試験での考え方

👉 「試行回数を制限できているか?」

  • 無制限 → 危険
  • 制限あり → 有効な対策

よくある誤解・混同

❌ 誤解①:特殊な技術攻撃

👉 ⭕ 実際は

  • 単純な試行の繰り返し

❌ 誤解②:パスワードが漏れている攻撃

👉 ⭕ 違う

  • 推測して当てる攻撃

(漏えいはリスト型攻撃)

❌ 誤解③:1回で成功する攻撃

👉 ⭕ 違う

  • 何度も試すことが前提

SG試験のひっかけポイント

  • 「パスワードの暗号化」で防げるとする選択肢
    → ❌ 不十分

👉 正しくは

  • 試行回数の制限や多要素認証

確認問題(SG試験対策)

次のうち、ブルートフォース攻撃への対策として最も適切なものはどれか。

A. ログイン失敗回数の制限や多要素認証を導入する。 B. 利用者全員に同じ初期パスワードを使わせ続ける。 C. パスワードの文字数を短くして入力ミスを減らす。 D. 攻撃を受けてもログを保存しないようにする。

▶ クリックして答えと解説を見る(ここを開く)

正解:A

解説

  • A:総当たりを難しくし、不正ログインの成功率を下げます。
  • B:共通パスワードは危険です。
  • C:短いパスワードは推測されやすくなります。
  • D:ログがないと検知や調査が困難になります。

👉 判断ポイント 総当たりには「試行回数を制限する」「認証要素を増やす」対策が効く。

まとめ(試験直前用)

  • ブルートフォース攻撃=「総当たりでパスワードを試す」
  • シンプルだが確実な攻撃
  • 対策は
    👉 試行回数制限+多要素認証
  • 試験では
    👉 「推測型か漏えい型か」で切り分ける

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る