ブルートフォースアタック(Brute Force Attack) とは、 ある認証システムに対し、正しい組み合わせが得られるまで パスワードや ID を変更しながら連続してアクセスする攻撃のことです。 Brute-Force が「強引」の意味を指します。日本語ではそのまま「総当たり攻撃」とも呼ばれます。

良くある事例

サーバや認証システムの規定値に対する攻撃が良く行われます。 例えばサーバシステムでは既定のユーザ名が「root」に設定されていることが多く、 そのためアカウント名を「root」に設定してブルートフォースアタックが仕掛けられる傾向にあります。

防御方法

認証に失敗した回数が上限に達した場合に対象のアカウントを凍結するか、 あるいは次のアクセスまで制限時間を設けるようにすることなどでこの攻撃を防ぎます。

サーバシステムなどでは各種の設定を既定の値(初期値)のままにせず、 変更することで攻撃が成立する確率を下げることができます。 良く変更される設定項目には「ユーザ名」「パスワード」「ポート番号」などが上げられます。

また「鍵認証システム」を利用することでも総当たり攻撃を防ぐことができます。