sg security_measures unauthorized_access threat_vulnerability access_control sg-security-measures
まず結論
- リバースブルートフォース攻撃とは、特定のパスワードを固定して複数のIDに対して試す攻撃であり、SG試験では「通常のブルートフォースとの違い」と「アカウントロックを回避する仕組み」を判断させる問題として出題される。
直感的な説明
通常のブルートフォース攻撃は、
👉 1つのIDに対してパスワードを変えて試す
ですが、リバースブルートフォースは逆です。
👉 1つのパスワードで、たくさんのIDを試す
イメージ:
- 「password123」を固定
- 山田、田中、佐藤…とIDを変えて試す
👉 誰か1人でも同じパスワードを使っていれば突破できます。
定義・仕組み
リバースブルートフォース攻撃(逆総当たり攻撃)は、
👉 よく使われるパスワードを1つ選び
👉 多数のアカウントに対して試行する攻撃です。
なぜ有効か
- 多くのユーザが同じようなパスワードを使っている
- 1アカウントへの試行回数が少ない
👉 アカウントロックを回避しやすい
通常のブルートフォースとの違い
| 攻撃 | 特徴 |
|---|---|
| ブルートフォース | 1つのIDに対して総当たり |
| リバースブルートフォース | 1つのパスワードで複数IDを試す |
どんな場面で使う?
攻撃される場面
- 多数のユーザアカウントがあるサービス
- パスワードの使い回しが多い環境
防ぐ場面(対策)
- 多要素認証(MFA)
- パスワードの使い回し禁止
- 異常ログイン検知(IP・挙動分析)
- パスワードポリシーの強化
SG試験での考え方
👉 「なぜロックされないか?」
- 1ユーザあたりの試行回数が少ない
👉 アカウントロックに引っかかりにくい
よくある誤解・混同
❌ 誤解①:ブルートフォースと同じ
👉 ⭕ 逆の考え方
- ID固定か
- パスワード固定か
❌ 誤解②:パスワード漏えい攻撃
👉 ⭕ 違う
- 推測して試す攻撃
(漏えいはリスト型攻撃)
❌ 誤解③:対策はアカウントロックだけ
👉 ⭕ 不十分
- ロックを回避できる攻撃
SG試験のひっかけポイント
- 「アカウントロックで防げる」とする選択肢
→ ❌ 不十分
👉 正しくは
- 多要素認証や異常検知が必要
確認問題(SG試験対策)
次のうち、リバースブルートフォース攻撃の説明として最も適切なものはどれか。
A. 固定したよくあるパスワードを、多数のIDに対して試す攻撃である。 B. 1つのIDに対して、すべてのパスワード候補を順に試す攻撃である。 C. 利用者に偽サイトで情報を入力させる攻撃である。 D. 送信元IPアドレスを偽装して通信する攻撃である。
▶ クリックして答えと解説を見る(ここを開く)
正解:A
解説
- A:パスワードを固定し、ID側を変えて試すのが特徴です。
- B:通常のブルートフォース攻撃の説明です。
- C:フィッシングの説明です。
- D:IPスプーフィングの説明です。
👉 判断ポイント 通常の総当たりは「ID固定でパスワード多数」、リバースは「パスワード固定でID多数」。
まとめ(試験直前用)
- リバースブルートフォース=「パスワード固定で複数IDを試す」
- 特徴は
👉 アカウントロックを回避しやすい - 対策は
👉 MFA+使い回し防止+異常検知 - 試験では
👉 「ID固定かパスワード固定か」で切り分ける
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 攻撃者の種類とは?目的と特徴で整理する【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】