パスワードが8桁未満のあなた、あっという間に解読され乗っ取られてしまうかもしれません
「ブルートフォースアタック(総当り攻撃)」とは
日本語で「総当り攻撃」といいます。
例えばパスワードが4桁の数字だと考えて、0000から始めて、次は0002、その次は0003と順番に入力して試していく攻撃のことをいいます。人が行えば「やってられん」というこの作業も、コンピューターソフトが行えばとんでもないスピードで処理してしまいます。
大変な手間だと思っていても、BOTが自動的に攻撃するように設定すればあまり手間はかからず、ログイン情報を解読してしまうのです。
現在でもログイン画面のパスワードは、忘れないようにと分かりやすい単語や簡単な数字にしてしまっているこことがあるのでしょう。
パスワードを「password」にしたり「123456789」としたり「00000000」というのは結構多いのだそうです。
わたしも以前は「なまえ+000」というパスワードを利用していました。このようにパスワードはすぐに解読されてしまいそうです。ヤバイヤバイ
IPA 独立行政法人 情報処理推進機構が公表している参考資料があります。
2008年の資料なので現在はもっと早く処理されてしまうはずです。
|
使用する文字の種類
|
使用できる
文字数 |
最大解読時間
|
|||
|
入力桁数
|
|||||
|
4桁
|
6桁
|
8桁
|
10桁
|
||
| 英字(大文字、小文字区別無) |
26
|
約3秒
|
約37分
|
約17日
|
約32年
|
| 英字(大文字、小文字区別有)+数字 |
62
|
約2分
|
約5日
|
約50年
|
約20万年
|
| 英字(大文字、小文字区別有)+数字+記号 |
93
|
約9分
|
約54日
|
約1千年
|
約1千万年
|
出典:コンピューターウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について(IPA 独立行政法人 情報処理推進機構ホームページ)
某セキュリティ会社が行った実験では数字4桁のパスワードは0.1秒もかからず解読されていました。
IPAではパスワードは8桁以上(できれば10桁以上)英数大文字小文字を交えて設定することを勧めています。
ブルートフォースアタックを行うソフトはネット上から手に入る
ブルートフォースアタックはこの作業をシステムに行わせる攻撃です。
詳しい攻撃の手順は、以下のQiiteさんのサイト記事を見ると容易に実行できることが分かります。
こんなことを行えるソフトも知識もあちらこちらで公開されています
この方法をまねしたからといって、すぐに行える訳ではありません。でも、パソコンを持っていてインターネットにつながる環境があればいつでもどこからでも攻撃者になることができるわけです。
こんなことをやっている人や組織はほんの一部だとは思います。
しかし、本の一分の人たちがBOTを使ってすさまじい数の攻撃を日々行っているに違いありません
どんな被害をうけることになるのでしょう
サイトの乗っ取りが会社のホームページで起こっててしまったら、イメージダウンは当然ながら、情報の漏洩で被害が広がることが考えられます。
さらに怖いのは、乗っ取りの事実に気づかず被害者でありながら攻撃者の片棒を担ぐ加害者になってしまうことです。
ホームページを乗っ取られる
IDパスワードを知って、堂々とログインするわけですから、ホームページは改造されてしまいます。
自分のホームページにアクセスできなくなったり、内容が書き換えられたり、バイアグラの通信販売サイトに遷移させられたりしてしまいます。
ホームページ内の個人情報を盗まれる
通販サイトや、会員サイトであった場合、大切なお客様取引先の情報が丸見えです。
カード内容などは通常決済会社のシステムと連動されていることが多いので、直接盗まれることはないと考えられますが、それでも重大な被害です。
乗っ取られなかったとしても起きる被害
総攻撃を受けている間は、何度も何度もアクセスされエラーを返し、不正アクセスにロックをかける設定をしていればロックや解除を繰り返し行います。サーバーの処理に負担がかかり、無駄なログがドンドンんストックされるため負担がかかり、ホームページの動作がわるくなったりすることがあります。
ホームページ運営にはセキュリティ対策が当たり前
wordpressを設置すると必ずと言っていいほどこうした攻撃が加えられています。嫌なことですがこれが現実です。被害が出てからでは遅いので、面倒くさくって腹が立ちますが、セキュリティ対策は必ず導入しておきましょう。
でも対策って何をどうすることなの?
対策をどうすれば大丈夫なレベルかがわからなければ不安でしかたないですよね。
何にどんな対策をすればよいのかは、まずこちらを参考にしてみてください
