ドコモ口座による不正出金問題で話題になったリバースブルートフォース攻撃。ブルートフォース攻撃は聞いた事がある方が多いかと思いますが、リバースブルートフォース攻撃は初めて聞いた方もいらっしゃるかもしれませんね。
ブルートフォース攻撃(総当たり攻撃とも言われます)は御存知の通りログインIDを固定し、パスワードを「総当たり」で調査しアカウントの乗っ取りを成功させるものです。ただ、ウェブサービスの場合はレスポンスの問題もあり現実的ではないとされています。実際、弊社の観測でもブルートフォース攻撃は観測できていません。
そこで出てきたのが辞書攻撃やパスワードリスト攻撃になります。
辞書攻撃は英単語等の平易なパスワード等を辞書化して、その辞書に基づいて攻撃する手法になります。これは、実際に弊社でも多数観測しています。
パスワードリスト攻撃は他者から漏れたパスワード等をリスト化して、そのリストに基づいて攻撃する手法になります。漏洩したパスワードが元になっているため複雑なパスワードでも突破される可能性がありますし、これも大規模なサイトを中心に観測されています。
ただ、辞書攻撃に関しては「複雑なパスワードを設定するよう」注意喚起された事、パスワードリスト攻撃に関しては「パスワードの使い回しをしないよう」注意喚起された事もあり、徐々に実効性が低下していると思われます。
その中で、昔からある攻撃手法ではあるものの脚光を浴びているのがリバースブルートフォース攻撃になります。
リバースブルートフォース攻撃(逆総当たり攻撃)とは、パスワードを固定してログインIDを「総当たり」する事でアカウントの乗っ取りを成功させるものです。ログインIDが変化していくため、複数回のログイン失敗を検知してアカウントロックを掛ける等の手法が取れない事、また、時間を掛けてゆっくり攻撃したり、多数のIPアドレスから攻撃する事で「不正アクセス」であるという認識をするのが難しいのも特徴です。
CMSを使って通販サイトを構築した場合にはユーザー数が多数になる可能性もあるため、リバースブルートフォース攻撃の可能性も考慮する必要があるかと思われます。ログインIDが連番であったり、任意に決められる場合にはリバースブルートフォース攻撃が成功する可能性もありますので、ログインIDをメールアドレスにする等のリバースブルートフォース攻撃を受けにくい形にしておく事が重要になります。
尚、先の説明で判るかと思いますが、アクセスログ等からリバースブルートフォース攻撃である事を判定するのは非常に難しいので、システム構築の段階で充分な対策をしておく事が重要になります。