サイバー攻撃について語るとき、攻撃者が被害者のネットワークにアクセスする基本的な方法は3つある:
フィッシング:電子メールを足掛かりとしてネットワークに侵入し、エンドポイントの感染に成功すると、攻撃者に侵入の足掛かりを与える可能性があります。
脆弱性:ゼロデイまたは既知の脆弱性(パッチが適用されていないもの)を利用することで、攻撃者はシステムやアプリケーションの特権を昇格させ、それを利用してネットワークの他の部分にアクセスすることができます。
RDP/リモートアクセス:攻撃者は、漏洩した認証情報または総当たりパスワード攻撃を使用し、それらをネットワークへの侵入経路として使用します。
企業は通常、上記の最初の2つの攻撃ベクトルに焦点を当てます。3つ目について議論する場合、企業は通常次の点に注目する。 RDPそのものよりも、攻撃者がリモート・ログオン・セッションに飛び込んだ後の認証がいかに安全でないかということに重点を置いている。
そこで、この記事では、攻撃者が リモートアクセス セッション(RDPなど、ここでは一般に リモートアクセス と総称します)を発見して悪用した場合に何が起こるのかを探っていきます。
クレデンシャルを侵害するために使用されるブルートフォース攻撃の方法、それがどの程度普及しているのか、なぜユーザーが実際に攻撃者にそれを容易にしているのか、そしてそれに対して何ができるのかを見ていきます。
ブルートフォース攻撃とは何か?
ブルートフォース攻撃とは、攻撃者が試行錯誤を繰り返してユーザーのパスワードやログイン情報、暗号鍵を推測したり解読したりするサイバー攻撃の一種です。この攻撃方法では、ユーザーのアカウント、システム、またはネットワークに不正にアクセスするために、可能なすべての文字、数字、特殊文字の組み合わせを体系的に試行します。
ブルートフォース攻撃は、手動または自動化されたソフトウェアツールを使って実行できるため、ハッカーの間で人気がある。
ブルートフォース攻撃の種類
ブルートフォース攻撃にはいくつかの種類がある:
ブルートフォースアタック:ユーザーのパスワードを推測するために、可能な限りの文字、数字、特殊文字の組み合わせを試すこと。
逆ブルートフォース攻撃:攻撃者は既知のパスワードから開始し、一致するユーザー名を見つけようとする。
辞書攻撃:攻撃者は、ユーザーのパスワードを推測するために、単語、フレーズ、一般的なパスワードのリストを試みます。
ハイブリッドブルートフォース攻撃:このタイプの攻撃は、辞書攻撃と従来のブルートフォース攻撃を組み合わせたものである。
クレデンシャル・スタッフィング:盗まれたユーザー名とパスワードのリストを使用して、複数のアカウントに不正にアクセスすること。
ブルートフォース攻撃の動機
ブルートフォース攻撃の背後にある動機を理解することは、リスクを評価し、効果的なセキュリティ対策を実施するために不可欠です。サイバー犯罪者が目的なしに行動することはほとんどありません。彼らの目的には、金銭的な利益、スパイ活動、業務の妨害などが含まれることが多い。例えば、医療や金融のような機密データを扱う業界はスパイ活動のリスクが高く、中小企業はIT予算が限られているため、ランサムウェアやクレデンシャル盗難の標的にされる可能性があります。
ここでは、攻撃者がブルートフォース戦術を採用する理由を詳しく見ていきます:
営利目的の認証情報窃盗
ブルートフォース攻撃の背後にある最も一般的な理由の1つは、ユーザー名やパスワードなどのユーザー認証情報を盗むことです。いったん入手されたこれらの認証情報は、しばしば大規模なデータダンプの一部としてダークウェブのマーケットプレイスで販売されたり、貴重なシステムへの不正アクセスに使用されたりします。例えば、攻撃者は組織の内部システムへのログイン情報を販売し、ランサムウェアやデータ窃盗などの標的型攻撃を実行できるようにするかもしれません。
ランサムウェアの展開
ブルートフォース攻撃は、ランサムウェアを展開するためのエントリポイントとして頻繁に使用されます。漏洩した認証情報を使ってシステムにアクセスすることで、攻撃者は重要なデータを暗号化し、その解放のために身代金を要求することができる。この動機は、ブルートフォース攻撃に脆弱なリモートデスクトッププロトコル(RDP)やその他のリモートアクセスソリューションに依存することが多いリモートワークの増加によって増幅されています。
スパイ活動とデータの窃取
ブルートフォース攻撃は、企業や国家によるスパイ活動に関連した動機を持つサイバー犯罪者によって使用される。ブルートフォース攻撃は、攻撃者がネットワークに侵入し、機密データを抜き取ることを可能にします。攻撃者は、知的財産、企業秘密、または機密情報を標的にすることができます。脆弱な認証方法を使用して、高価値のシステムにアクセスします。
システムの混乱
時には、データや金銭を盗むことが目的ではなく、組織の運営を混乱させることが目的の場合もあります。ブルートフォース攻撃は、システムに過負荷をかけたり、ダウンタイムを引き起こしたり、顧客の信頼を損なったりする大規模なキャンペーンの一環であることもあります。このような場合、攻撃者は直接的な金銭的利益を得ることよりも、組織の評判や能力にダメージを与えることを目的としています。
セキュリティの弱点のテストと悪用
ブルート・フォース攻撃は、しばしば偵察ツールの役割を果たす。攻撃者は、組織の防御を探り、認証システムの弱点を特定するために、ブルート・フォース・アタックを使用することがある。この情報は、より洗練された標的型攻撃に利用される。
プラットフォーム間でのクレデンシャルの再利用
多くの人が複数のアカウントでパスワードを再利用している。このことを知っているサイバー犯罪者は、総当たり攻撃を悪用して、1つのアカウントだけでなく、相互接続されたサービスのネットワーク全体にアクセスする可能性があります。クレデンシャル・スタッフィングとして知られるこの手口は、漏洩した1つのパスワードがより広範な侵害につながる可能性がある場合に特に問題となる。
初回アクセス・ブローカー
ブルートフォース攻撃は、ネットワークに侵入して他の攻撃者にアクセス権を売ることを専門とするサイバー犯罪者であるイニシャル・アクセス・ブローカーによって行われるケースもあります。これらのブローカーは、脆弱な認証システムを使用して侵入し、スパイ活動やランサムウェアのような大規模な攻撃を実行しようとする者に認証情報を販売します。
これらの目的を理解することは、組織が脆弱性を効果的に軽減するために、認証の強化、定期的なセキュリティ監査、従業員トレーニングなどの防御策に優先順位をつけるのに役立つ。
オンラインとオフラインのブルートフォース攻撃
ブルートフォース攻撃は、オンラインとオフラインの2種類に大別され、それぞれにユニークな課題がある。
オンライン・ブルートフォース攻撃
これらの攻撃は、稼動中のシステムやネットワークを標的にする。攻撃者は自動化されたツールを使って繰り返しパスワードを推測する。これらの攻撃はリアルタイムで発生するため、1つのIPアドレスから何度も失敗するなど、通常とは異なるログイン試行を監視することで検知可能です。
セキュリティ対策としては、試行回数を減らすためのレート制限、ボットをブロックするためのCAPTCHAチャレンジ、セキュリティを強化するための多要素認証(MFA)などがある。
オフライン・ブルートフォース攻撃
オフライン攻撃は、盗んだパスワードのハッシュを、実稼働しているシステムとやりとりすることなく解読するものだ。攻撃者は強力なツールを使って組み合わせをテストするため、発見が困難になる。
セキュリティ対策には、塩漬けハッシュを使ったパスワード保存の保護や、強力な暗号化の使用が含まれる。また、脆弱性にパッチを当てるために、定期的なシステムのアップデートも欠かせない。
ブルートフォース攻撃はなぜ問題なのか?
RDPがサイバー攻撃に関与したという記事や業界統計を目にしたら、攻撃時点で攻撃者がログオンに使用できるユーザー名とパスワードを持っていたかどうかを念頭に置いてください。
初期アクセス・ブローカーのように、攻撃者がゼロから始めるシナリオでは、単にアクセスを得るだけでなく、現在の攻撃で使用されるか、あるいは初期アクセスを求める別の攻撃者にダーク・ウェブで販売される実用的なクレデンシャル・セットを導き出すことが目標となる。
つまり、攻撃者は時に、与えられたユーザー名に関連するパスワードを割り出すために、総当たりパスワード攻撃を使う必要がある。
ブルートフォース攻撃ツールは、クレデンシャルを推測するプロセスを自動化するように設計されており、攻撃者にとってより迅速かつ効率的です。
サイバー犯罪者が使用するほぼすべての悪意のある戦術、テクニック、手順を概説したMITREのATT&CKフレームワーク(「ATTACK」と発音)によると、ブルートフォース攻撃手法には4つのタイプがある:
パスワード推測:一般的なパスワードのリストに基づき、反復的または反復的なメカニズムを使用して組織的にパスワードを推測すること。
パスワード・スプレー: 攻撃者がユーザー名のリストを入手し、そのすべてに同じパスワードを使ってログインしようとすること。
パスワードクラッキング:レインボーテーブルを使うか、パスワードを推測してハッシュを計算し、パスワードハッシュをクラックする。
クレデンシャル・スタッフィング:標的のアカウントにアクセスするために、無関係なアカウントの侵害ダンプから取得したクレデンシャルを使用すること。
攻撃者が被害者のネットワーク上のユーザー名やパスワードを知っているかどうかが、ある方法を使うかどうかの大きな決め手となる。
しかし、総当たりパスワード攻撃はどの程度普及しているのだろうか?
英国のサイバー保険会社Hiscoxによると、 サイバー保険請求に関連して確認されたランサムウェア攻撃の17%は、ブルートフォース攻撃から始まっていました。 これは約5件に1件に相当します。また、ブルートフォース攻撃は2022年にも大規模に確認されています。 東南アジアでリモートワーカーを狙った4700万件の攻撃.
したがって、これは非常に現実的な問題です。
1.脆弱なパスワードソースは数多く存在する
パスワードの推測、スプレー、またはクレデンシャルスタッフィング攻撃に使われるパスワードは、多くの場合、さまざまな情報源からもたらされる。主なソースの1つは、ユーザー名と電子メールアドレスを公開するデータ侵害である。例えば、2016年5月に起きたLinkedInの情報漏えい事件では、1億6400万件のメールアドレスとパスワードが流出し、このような攻撃に大きく貢献した。
もう一つの情報源は、よく使われるパスワードをカタログ化したデータベースで、その多くは驚くほど単純です(例えば、”P@ssw0rd!”)。さらに、攻撃者は特定のユーザーに焦点を当てることで、弱いパスワードや予測可能なパスワードを見つける可能性を高め、標的型推測の機会を悪用することがよくあります。
スパイクラウドの2023年個人情報暴露レポートによると、 情報漏洩の際に収集されたパスワードのうち、700万件以上が恋愛や家族をテーマにしている。 (例えば、あなたの配偶者の名前を知っていれば、そこから推測を始めることができる)。このような攻撃では、弱いパスワードやよく使われるパスワードを悪用するために、さまざまなパスワードの組み合わせを系統的にテストすることがよくあります。
2.ユーザーの行動もセキュリティ・リスクの一因となる
スパイクラウドの同レポートによると、2022年の情報漏えい事件では、72%のユーザーが以前に漏えいしたパスワードを再利用しており、米国では61%のユーザーがパスワードを再利用していた。
パスワードは平均13回再利用されている. その理由のひとつは、今日のユーザーがログオンを維持する必要のあるシステム、アプリケーション、プラットフォームの数が多いことだ。中小企業では平均85のパスワードが使われているが、大企業では25しか使われていない。
複雑なパスワードを使用することで、アカウントのセキュリティが大幅に強化され、攻撃者がクレデンシャル侵害を成功させることがより困難になります。
今日のコンピューティング能力によって、攻撃者は ブルートフォース攻撃で1秒間に10億ものパスワードをブルートフォース攻撃で パスワードセキュリティは 不可欠 です。
3.リモートアクセスは、攻撃者に不正アクセスの手段を提供する可能性がある。
総当たり攻撃は不正アクセスを得るための手段に過ぎず、真の脆弱性はハイブリッドワーカーが企業リソースにどのように関わるかにあるため、リモートアクセスを議論に加えよう。
組織の中には、いまだに(いまだに!)RDP(サイバーセキュリティにふさわしい恐ろしい死に方をしないプロトコル!)に依存しているところもある。最近のレポートでは、サイバー犯罪者が分析したインシデントの90%でRDPを悪用しており、ランサムウェア攻撃の重要なベクトルになっていることが明らかになりました。RDPを使用していない場合でも、他のリモートアクセスアプリケーションも重大なリスクをもたらす可能性があり、データ侵害の16%はRDPまたは他のリモートアクセスアプリケーションの侵害から始まっています。
これは、リモートアクセスのあらゆる方法がサイバー犯罪者にとって攻撃ベクトルであることを意味します。50%の組織がリモートアクセスのリスク軽減に非常に効果的であると評価していないことから、リモートアクセスを効果的に保護するためには、単純なパスワードの使用だけでなく、より強力な認証手段を導入することが極めて重要である。
ブルートフォース攻撃に対する予防のベストプラクティス
ブルートフォース攻撃を防ぐには、強力なポリシー、技術的セーフガード、ユーザー教育を組み合わせた多層的なアプローチが必要です。多要素認証(MFA)は防御の基盤ですが、より積極的なセキュリティ体制を確立するには包括的な戦略を実施する必要があります。ここでは、ブルートフォース攻撃に先手を打つ方法を紹介します:
強固なパスワードポリシーの確立
強力なパスワードポリシーは、ブルートフォース防止戦略の基盤です。すべてのユーザーがこれらのベスト・プラクティスを遵守するようにしてください:
長さと複雑さ:パスワードは、大文字、小文字、数字、特殊文字を混ぜて、少なくとも12文字以上にすること。
定期的なアップデート:パスワードの有効期限ポリシーを実施し、攻撃者の攻撃機会を制限する。
再利用を避ける:ユーザーが古いパスワードを再利用できないようなシステムを導入する。
一般的なパスワードを禁止する:123456 “や “password “など、弱いパスワードや推測されやすいパスワードをブロックするツールを使う。
セキュリティ監視ツールの導入
リアルタイムの監視とアラートは、ブルートフォース攻撃が成功する前に検知し、対応するのに役立ちます。以下のツールの導入を検討してください:
侵入検知防御システム(IDPS):SnortやSuricataのようなツールは、異常なログイン試行を検出し、疑わしい活動をブロックすることができます。
SIEMソリューション:SplunkやLogRhythmのようなセキュリティ情報およびイベント管理(SIEM)システムは、ログデータを一元管理し、潜在的なブルートフォース・アクティビティに関する洞察を提供します。
アカウント・ロックアウトのしきい値:特定の回数ログインに失敗すると、アカウントが一時的にロックされるようにシステムを構成する。
従業員へのセキュリティ教育
ヒューマンエラーは、攻撃者が悪用する一般的な脆弱性です。継続的なトレーニングを実施することで、従業員がリスクを認識し、軽減できるようになります:
フィッシングの認識:ブルートフォース攻撃の前に行われる可能性のあるフィッシングの試みを特定するためのトレーニングを行う。
適切なパスワード管理:仕事とプライベートの両方のアカウントについて、ユニークで強力なパスワードの重要性を強調する。
報告プロトコル:不審なログインの試みまたはシステムの動作を速やかに報告するよう従業員に奨励する。
テクニカル・コンフィギュレーションの活用
技術的な安全策を講じることで、攻撃者がブルートフォース攻撃を実行することを大幅に困難にできます。これらの対策を実施する:
レート制限:ログインに何度も失敗すると、IPをスローダウンまたはブロックします。
CAPTCHAの統合:ログインページにCAPTCHAチャレンジを追加して、自動ログインの試行を防ぎます。
IPホワイトリスト:特に機密性の高いシステムに対して、特定のIP範囲へのログインアクセスを制限します。
パスワードを暗号化する:正しいパスワードハッシュを保存するために、Argon2などの強力な暗号化アルゴリズムを使用する。
パスワードを超えたリモートアクセス
ブルートフォース(総当たり)攻撃は重大なリスクをもたらし続けていますが、プロアクティブなアプローチと予防戦略により、その影響を大幅に軽減することができます。多要素認証(MFA)を導入し、強固なパスワードポリシーを実施し、高度なセキュリティツールを活用することで、組織は不正アクセスに対する強固な防御を構築することができます。
RDPのような古い、あるいは脆弱なリモートアクセス方法に依存している組織であっても、すべてのログインにMFAを要求することは重要な第一歩です。MFAだけでなく、高強度の暗号化の使用、パスワードハッシュの塩漬け、ログイン試行回数の制限設定、何度も失敗した後のCAPTCHAチャレンジの採用などの戦略により、ブルートフォース攻撃を成功する前に阻止することができます。
また、従業員を教育し、不審な行動を監視し、侵入検知システムなどのツールを導入して潜在的な脅威をリアルタイムで特定することも不可欠です。目標は、攻撃に対応するだけでなく、攻撃を未然に防ぐことである。
この記事を最後まで読んでくださった方にとって、要点は明確です。ブルートフォース攻撃は、意図的かつ重層的なセキュリティ対策によって軽減することができます。MFAは、リモートアクセスを保護し、組織を守るための最もシンプルで効果的な方法の1つです。今こそ行動を起こす時です。
