ブルートフォース攻撃（ブルートフォースアタック）とは？
5つの事例・対策などを解説

ブルートフォース攻撃（ブルートフォースアタック）とは、Webサイトやシステムなどに使用されるパスワードのパターンをすべて試し、不正アクセスを試みるサイバー攻撃の一種です。「総当たり攻撃」とも呼ばれ、古くから用いられている攻撃手法ですが、2025年現在も深刻な脅威となっています。

IPA（独立行政法人情報処理推進機構）の情報セキュリティ10大脅威2025によると、ブルートフォース攻撃はリモートワーク環境を狙った攻撃の主要手法として位置づけられており、2024年上半期のランサムウェア被害の約86%でVPN機器やリモートデスクトップ経由の攻撃が報告されています。過去2年の通年で見ても2022年は約80.4％、2023年は約81.7％を占めています。

ブルートフォース攻撃は攻撃者が不正に入手したIDと想定される文字列をログイン画面に入力し続けることで、パスワードを解読し、不正ログインを行います。時間をかけさえすれば確実に解読できてしまうため、現在でも多くのサイバー攻撃に使用されています。

近年はコンピュータの処理能力が向上したため、パスワードの解読時間が大幅に短縮されているとの報告もあります。

例えば、単純な英小文字6桁のパスワードの組み合わせは約3億通りになりますが、解析ソフトを使用すれば1秒未満で、8桁でも数十秒程度で解読できてしまうとされています。

ブルートフォース攻撃は単純な総当たりで行う以外にもいくつかの手法があります。
以下に総当たり攻撃も含めた主な手法を紹介します。

総当たり攻撃の手法

最も基本的なブルートフォース攻撃で、特定のIDに対して考えられるパスワードの組み合わせを１つずつ試していく方法です。「a」から「z」、「0」から「9」、記号を含む文字列の全ての組み合わせを自動で生成し、一致するパスワードを特定するまで試行し続けます。

辞書攻撃手法

「12345」や「password」といった安易な数字や一般的な英単語、人名、またはそれらを組み合わせた文字列をリスト（辞書）化し、ログインに用いる手法です。初期設定のパスワードや誕生日などもリストに含まれるため、推測されやすいパスワードを使用している場合は特に危険です。

パスワードリスト攻撃の危険性

過去に解読された、もしくは漏洩したパスワードをもとに作られたリストを使用し、複数のサイトに攻撃を行います。複数のサービスでIDとパスワードを使い回している人が多いため、単純なブルートフォース攻撃よりも成功率が高いという特徴があります。

リバースブルートフォース攻撃は、通常のブルートフォース攻撃とは逆に、特定のパスワードに対し、IDを総当たりで攻撃する手法です。「逆総当たり攻撃」とも呼ばれ、近年特に注意が必要な攻撃手法となっています。

従来の対策が効かない理由

IDに対する攻撃であるため、不正アクセスの対策として用いられるアカウントロックは有効に機能せず、被害が大きくなる可能性があります。通常のブルートフォース攻撃では、特定のIDに対して複数回失敗すると該当アカウントがロックされますが、リバースブルートフォース攻撃では異なるIDを使用するため、このセキュリティ機能を回避できてしまいます。

ブルートフォース攻撃によりパスワードが解読されてしまうと、悪意のある攻撃者によって、さまざまな被害を受けることが予想されます。

システムやWebサービスの乗っ取りの危険性

ブルートフォース攻撃が成功すると、攻撃者は正規ユーザーとして認証されるため、以下のような被害が発生する可能性があります。

• 管理者権限の取得：

  システム管理者アカウントが乗っ取られた場合、攻撃者に全システムの制御権を奪われる可能性がある

• 不正な設定変更：

  攻撃者にセキュリティ設定の無効化をされたり、バックドアを作成されたりするリスクがある

• マルウェアの拡散：

  社内ネットワークにマルウェアが拡散する起点とされる可能性がある

• 踏み台攻撃：

  他のシステムへの攻撃に悪用される中継点となるおそれがある

情報漏洩のリスク

ブルートフォース攻撃による不正アクセスの多くは、情報の窃取を目的としており、以下のような情報漏洩リスクがあります。

• 個人情報の漏洩：

  顧客データベースへのアクセスによる大量の個人情報流出のおそれがある

• 企業機密の窃取：

  営業情報、開発データ、財務情報などの機密情報が盗まれる可能性がある

• 知的財産の侵害：

  特許情報、技術資料、ノウハウなどが不正に取得されるリスクがある

• 金銭的な被害：

  入出金にかかわるシステムへの不正アクセスにより資金が不正に移動されるおそれがある

ブルートフォース攻撃による実際の被害事例を5つ紹介します。いずれも情報漏洩や金銭的な損失など、大きな被害が出ています。

大手コンビニチェーンの決済サービスで不正利用

2019年7月、大手コンビニチェーンの決済サービス利用者からの問い合わせにより不正利用が発覚。調査結果から1,500人以上のIDが乗っ取られ、会員なりすましによる被害は約4,000万円にも及びました。同社は、二段階認証などの対策を講じておらず、1か月でサービスを廃止。直接の原因はパスワードリスト攻撃による不正ログインによるものとの見解を出しています。

大手証券会社の顧客口座から約1億円が不正流出

2020年9月、大手証券会社が第三者の不正アクセスにより、顧客の証券口座から9,864万円が流出したと発表しました。不正に入手した顧客のアカウント情報で口座にログインし、出金先の銀行口座を変更して偽の口座に出金していました。同社は事件の発覚後、出金停止やパスワードリセットなどの措置を行うとともに、再発防止策としてより強固なセキュリティ対策を実施するとしています。

人材サービス会社で25万人の個人情報漏洩

2023年3月、大手人材サービス会社が運営するサイトに不正アクセスを受け、25万人を超える履歴書情報が漏洩しました。外部から不正に入手したIDとパスワードによる不正ログインが行われた可能性があり、同社では全ユーザーのパスワードをリセットし、不正ログインの送信元からの通信を遮断するなどの対策を実施。その後、IDやパスワード以外の認証方法でセキュリティ強化を図っています。

大手ガス会社で約416万人分の個人情報が漏洩

2024年7月、大手ガス会社およびグループ会社が不正アクセスを受け、約416万人分の個人情報が流出した可能性があると公表されました。攻撃者はグループ会社のVPN機器を経由して社内ネットワークに侵入したとみられていますが、VPN機器に脆弱性があったかどうかについては「セキュリティ上の理由により回答を控える」としています。なお、今回のケースでは、ファイルの暗号化や身代金要求といったランサムウェアの被害は確認されていません。

上場企業でサーバ保存データが外部へ転送

2024年9月、上場企業のグループ会社に所属する従業員の、SIMカードを搭載したノートPCがリモートデスクトップ接続を介して不正アクセスを受け、社内ネットワークへの侵入が確認されました。被害にあった企業は、サーバに保存されていたデータが暗号化され、データが外部へ転送された痕跡があったと同年11月に公表しています。なお、調査により流出データの範囲が特定され、該当データには個人情報などは含まれていなかったと報告されています。

ブルートフォース攻撃を防ぐための対策は企業やシステム管理者はもとより、従業員やユーザーもセキュリティに対する意識を持つことが重要です。以下に効果的な対策を紹介します。

パスワードの強化

パスワードの桁数を増やし、大文字と小文字、数字や記号などを組み合わせることで、解読するまでの時間を長期化できます。また、他人から類推されやすい意味のある文字列を使用しないことも有効な対策となります。

ログイン回数の制限

一定の回数を超えてログインに失敗した際には、アカウントをロックし、一時的に利用を制限することでブルートフォース攻撃を防ぐことができます。3～5回のログイン失敗でアカウントをロックする機能や、不正アクセスの試行を記録・アラート通知する機能を実装しておくと安心です。アカウントをロックする場合は、一定時間の経過による自動ロック解除、または管理者による手動でのロック解除が可能な設定にしておくとよいでしょう。

多要素認証の設定

IDとパスワード以外の認証方法による二段階認証の導入も効果的な対策です。メールやアプリによるワンタイムパスワードやクレジットカードなどのセキュリティコード、指紋認証など、さまざまな方式が採用されています。多要素認証は「知識情報」「所持情報」「生体情報」のうち複数を組み合わせて行う認証方法であり、セキュリティ強化に効果的です。

• 知識情報：パスワード、PIN、秘密の質問
• 所持情報：スマートフォン、ICカード、トークン
• 生体情報：指紋、顔認証、虹彩認証

IPアドレス制限とアクセス制御

特定のIPアドレスからのアクセスのみを許可することで、不正アクセスを防ぐことができます。たとえば、アクセスを社内のIPアドレスのみに制限する、海外からのアクセスをブロックする「地理的制限」、業務時間外のアクセスを制限する「時間帯制限」などの対策が有効です。

定期的なパスワード変更と管理

パスワードは定期的に変更し、過去に使用したパスワードを再利用しないよう注意が必要です。また、パスワード管理ツールや、漏洩チェックツールを活用することで、安全性を高めることができます。

ネットワークセキュリティの強化

ネットワークレベルのセキュリティの強化も重要です。

セキュリティツールの導入

ブルートフォース攻撃によってパスワードを解読された場合でも、セキュリティツールによって侵入を防ぐことが可能です。サイバー攻撃が年々増加している昨今、ブルートフォース攻撃に限らず、さまざまな脅威から自社を守る対策ツールを導入しましょう。

オールインワンで脅威に対応できる「UTM」

サイバー攻撃を防ぐためのツールは多くありますが、特におすすめしたいのがUTMです。

サクサUTM「SS7000Ⅲ」はファイアウォールやアンチウイルス、IPS/IDSなどのセキュリティ機能が1台に集約されており、外部ネットワークと接続しているモデムに設置することによって、UTMとつながっているすべての機器が保護の対象となります。

また、外部からの脅威だけでなく、内部機器からの不正アクセス、Webフィルタリング、ウイルス拡散、メール誤送信、情報漏洩などのリスクにも備えることができます。複数のツールを導入する必要がないため、コストを抑えることも可能です。

さらに複雑な設定が不要で、導入後のサポート体制も充実しているため、セキュリティ対策に手間がかけられない、専門知識のある人材がいないなどの場合でも安心です。

今回は、ブルートフォース攻撃について、手口や対策方法などを解説しました。サイバー攻撃の手法として用いられるブルートフォース攻撃は、不正アクセスによって情報漏洩や金銭的な被害をもたらしますが、対策を取ることでリスクは大幅に軽減できます。まずはIDやパスワードを使い回さず、推測されにくい強固なパスワードを個別に設定することから始めましょう。

また、攻撃を防ぐだけでなく、万が一不正アクセスを受けたとしても、事後対策のできるセキュリティツールを導入しておくことで、被害の拡大を最小限に食い止めることができます。さまざまなセキュリティ機能を備えたサクサUTM「SS7000Ⅲ」をぜひご検討ください。

サクサでは、不正アクセスの監視や検知といった攻撃を遮断するファイアウォール機能など、さまざまなセキュリティ機能が充実しているUTMをはじめ、中堅・中小企業の課題を解決するツールを多数ご用意しています。お気軽にお問い合わせください。

また、UTMの基本機能から導入メリット・選定ポイントなどを詳しく解説したお役立ち資料や、サクサの最新モデルUTM「SS7000Ⅲ」の詳細が5分でわかる資料などもご提供していますので、ぜひご活用ください。