セキュリティの
学び場

リバースブルートフォース攻撃への対策と緩和策

それでは、リバースブルートフォース攻撃にはどのような対策が有効なのでしょうか。考えられる代表的な対策の例を見てみましょう。

Webサイト管理側での対策

①ＣＡＰＴＣＨＡの実装

CAPTCHAのような自動化・機械化されたアクセスを拒否するアンチオートメーション機能を実装することで、リバースブルートフォース攻撃への有効な対策となります。

②ＩＰアドレスでの制限

例えば特定のIPアドレスからの特定条件でのログイン試行を検出し、該当するIPアドレスからのアクセスを制限します。連続したログイン失敗の閾値を設定し、アクセス制限を施すことで、リバースブルートフォース攻撃への有効な対策となります。

③パスワードの文字数・文字種を増やし、パスワードのパターンを増やす

これはブルートフォース攻撃全般に言えることですが、パスワードの推測・特定を困難とするために、パスワードに使用できる文字数、文字種を増やすことで、被害にあうリスクを軽減することができます。但し、あくまで被害にあうリスクを軽減するものであり、ユーザが「よく使われる弱いパスワード」を設定した場合には依然としてリスクが生じるため、攻撃を完全に防止するためには①、②のようなアンチオートメーション機能の実装が必要です

利用者側での対策

①二段階認証を有効にする

スマートフォンのSMSやアプリを用いた二段階認証を有効にすることで、万が一ID/パスワードが特定された場合でもアカウント奪取を防止することができます。但し、有効なID/パスワードの特定に至った場合、他の会員制Webサイトのアカウントを奪取されるなど、二次的な被害が発生する場合がある点に注意が必要です。

②安易なパスワード・よく使われる弱いパスワードを設定しない

Webサイト管理側でパスワードに利用できる文字数・文字種を増やす対策が施されていたとしても、ユーザが安易なパスワードやよく使われる弱いパスワードを設定してしまっては、攻撃者からも容易に推測可能であるため対策とはなりません。安易なパスワードの例としては、IDと同一の文字列や、password、secretといった一般単語が挙げられます。よく使われるパスワードの例としては以下をご参照ください。
Top 200 most common passwords of the year 2020 (NordPass.com): https://nordpass.com/most-common-passwords-list/

③他のサイトで使用されているパスワードを用いない

同一のパスワードで登録していた他サイトでID/パスワード等の登録情報の漏洩が発生した場合、使用しているパスワードを特定され、リバースブルートフォース攻撃に悪用される恐れがあります。そのため、会員向けWebサイトごとに異なるパスワードを設定しておくことも対策の一つです。

パスワードリスト型攻撃の記事も合わせてご参照ください。

④利用者個人に紐づく属性値（生年月日、電話番号、住所）をパスワードに用いない

生年月日等、利用者個人に紐づく属性情報をパスワードに用いないようにします。推測、入手可能なこれら情報からパスワードが特定された場合、リバースブルートフォース攻撃の成功確率が増加するでしょう。