非常に技術的で洗練されたハックがたくさんあります。 名前から推測できるかもしれませんが、ブルートフォース攻撃は実際にはそれだけではありません。 だからといって、それらを無視すべきだというわけではありません。 単純ではありますが、非常に効果的です。 十分な時間と処理能力があれば、ブルート フォース攻撃の成功率は常に 100% になるはずです。
サブクラス
オンライン攻撃とオフライン攻撃という 2 つの主要なサブクラスがあります。 オンライン ブルート フォース攻撃には、必ずしもインターネットが関与するとは限りません。 代わりに、これは実行中のシステムを直接標的とする攻撃の一種です。 オフライン攻撃は、攻撃を受けているシステムと対話する必要なく実行できます。
しかし、システムを攻撃せずにシステムを攻撃するにはどうすればよいでしょうか? データ侵害には、漏洩したユーザー名とパスワードのリストが含まれることがよくあります。 ただし、セキュリティに関するアドバイスでは、パスワードをハッシュ形式で保存することを推奨しています。 これらのハッシュは、正しいパスワードを推測することによってのみ解読できます。 残念ながら、現在ではハッシュのリストが公開されているため、攻撃者はそのリストをダウンロードして自分のコンピュータ上で解読を試みることができます。 十分な時間と処理能力があれば、影響を受けるサイトに接続する前に、有効なユーザー名とパスワードのリストを 100% 確実に知ることができます。
これに対し、オンライン攻撃では、Web サイトに直接ログインしようとします。 これは非常に遅いだけでなく、注意を払うほとんどすべてのシステム所有者によっても顕著です。 そのため、通常、攻撃者はオフライン ブルート フォース攻撃を好みます。 ただし、場合によってはそれが不可能な場合もあります。
ブルートフォース認証情報
最も理解しやすいクラスであり、最も一般的な脅威は、ブルートフォース攻撃によるログイン詳細です。 このシナリオでは、攻撃者は文字通り、ユーザー名とパスワードの可能な限り多くの組み合わせを試して、何が機能するかを確認します。 上で説明したように、オンライン ブルート フォース攻撃では、攻撃者はログイン フォームにユーザー名とパスワードの組み合わせをできるだけ多く入力しようとする可能性があります。 この種の攻撃は、大量のトラフィックとログイン試行失敗エラーを生成し、システム管理者がこれに気づき、攻撃者をブロックする措置を講じる可能性があります。
オフライン ブルート フォース攻撃は、パスワード ハッシュのクラッキングを中心に展開します。 このプロセスは文字通り、文字の可能なすべての組み合わせを推測するという形式をとります。 十分な時間と処理能力があれば、どのようなハッシュ スキームを使用してもパスワードを正常に解読できます。 ただし、パスワード ハッシュ用に設計された最新のハッシュ スキームは「低速」になるように設計されており、通常は数十ミリ秒かかるように調整されています。 これは、たとえ膨大な処理能力を持っていたとしても、かなり長いパスワードを解読するには何十億年もかかることを意味します。
ほとんどのパスワードを解読する確率を高めようとして、ハッカーは代わりに辞書攻撃を使用する傾向があります。 これには、一般的に使用されているパスワードまたは以前に解読されたパスワードのリストを試して、現在のセット内にすでに見られたものがあるかどうかを確認することが含まれます。 すべてに固有で長く複雑なパスワードを使用するというセキュリティ上のアドバイスにもかかわらず、この辞書攻撃戦略は通常、パスワードの約 75 ~ 95% を解読することに非常に成功しています。 この戦略は依然として多くの処理能力を必要とし、依然としてブルート フォース攻撃の一種であり、標準的なブルート フォース攻撃よりもわずかに標的が絞られています。
他の種類のブルートフォース攻撃
ブルートフォースを使用する方法は他にもたくさんあります。 一部の攻撃には、デバイスまたはシステムへの物理的なアクセスを試みることが含まれます。 通常、攻撃者はそれを隠蔽しようとします。 たとえば、こっそりと電話をスリしようとしたり、鍵を開けようとしたり、進入管理されたドアを共連れして通過しようとしたりする可能性があります。 これらに代わる強引な手段は、文字通り物理的な力を使用する傾向があります。
場合によっては、秘密が判明することもあるかもしれません。 ブルートフォース攻撃を使用して残りを推測することができます。 たとえば、クレジット カード番号の数桁がレシートに印刷されることがよくあります。 攻撃者は、他の数字の考えられるすべての組み合わせを試して、完全なカード番号を割り出す可能性があります。 ほとんどの数字が空白になっているのはこのためです。 たとえば、最後の 4 桁はカードを識別するには十分ですが、攻撃者がカード番号の残りの部分を推測するには十分ではありません。
DDOS 攻撃はブルート フォース攻撃の一種です。 彼らは、標的のシステムのリソースを圧倒することを目的としています。 どのリソースでも構いません。 それは、CPU パワー、ネットワーク帯域幅、またはクラウド処理の価格上限に達している可能性があります。 DDOS 攻撃は文字通り、被害者を圧倒するのに十分なネットワーク トラフィックを送信するだけです。 実際には何も「ハッキング」するわけではありません。
結論
ブルートフォース攻撃は、完全な運、時間、労力に依存する攻撃の一種です。 ブルートフォース攻撃にはさまざまな種類があります。 それらの中には、パスワードクラッキング ソフトウェアなどの実行にやや洗練されたツールが含まれる場合もありますが、攻撃自体は洗練されたものではありません。 ただし、この概念は非常に効果的である可能性があるため、ブルートフォース攻撃が張り子の虎であるという意味ではありません。