こんにちは、decoponです。
IPAの試験勉強や業務マニュアルを見ていると、よく目にするこのワードたち👇
- 総当たり攻撃(ブルートフォース)
- 辞書攻撃
- リバースブルートフォース攻撃
- パスワードリスト攻撃
正直、最初に見たときはこう思いました:
名前似すぎ!
しかもどれも「パスワードを突破するやつ」じゃないの!?😵
ということで今回は、これらの攻撃手法のちがいを図解でスッキリ整理して、
IPA試験や社内セキュリティ研修でも役立つようなイメージにまとめてみたいと思います!
🧪 1. 総当たり攻撃(ブルートフォース)
パスワードを1文字ずつ、力づくで全部試す攻撃。完全に脳筋スタイル💪
- 文字数が短ければ成功しやすい(例:1234, abcdなど)
- パスワードの組み合わせ総数がカギ(例:4桁数字なら10,000通り)
💡 対策:
桁数を増やす・英数字記号を混ぜる・ロック機能を導入
📕 2. 辞書攻撃
よく使われるパスワードの“辞書リスト”を使って試してくる攻撃。
- 例:
password,123456,qwerty,letmeinなどなど - 総当たりよりも“人間のクセ”に寄った攻撃
💡 対策:
ありがちパスワードは絶対NG!辞書に載ってるやつ使っちゃダメ!
🔁 3. リバースブルートフォース攻撃
「パスワードは分かってる」→「誰かのIDでログインできないか?」を探す攻撃。
- 例:共通っぽいパスワード(例:
123456)で大量のIDを片っ端から試す - IDとパスワードを逆視点で攻めるのが特徴
💡 対策:
初期パスワードの使い回し禁止・アカウントロック制限を徹底
🧾 4. パスワードリスト攻撃(Credential Stuffing)
流出した「ID+パスワードのセット」を使って、他のサービスにログインしてみる攻撃。
- “使い回し”ユーザーが一番狙われる
- セキュリティ事故が起きたサイトの情報を悪用される
💡 対策:
パスワードの使い回しNG・2要素認証を使う・漏洩チェックサービスも活用
📊 5. 攻撃の違いまとめ表(図で覚えよう!)
| 攻撃名 | 試すもの | 特徴 | ざっくり例え |
|---|---|---|---|
| 総当たり | すべてのパスワード | 全通りトライ | ダイヤルを0000→9999まで回す |
| 辞書攻撃 | よくあるパスワード集 | 人間のクセ狙い | 有名な鍵の束を試す |
| リバースBF | IDを片っ端から | パスワードは固定 | 「この合鍵、誰にハマるかな?」状態 |
| リスト攻撃 | ID+パスワードセット | 流出データ再利用 | 他人の鍵で自分の家にも入れるか試す |
🧠 おわりに:名前は似てても、考え方が全然ちがう!
セキュリティ用語はカタカナばかりで最初はとっつきにくいですが、
「攻撃者の立場でどう考えているか?」を想像できるようになると、
実務でも試験でも理解がぐっとラクになります。
今回はパスワード攻撃を中心にご紹介しましたが、
次回はもう少し防御側の視点で「どう対策を設計するか?」もゆるっと書いてみたいです😊
🧸 おまけ
💥 ① 総当たり攻撃(ブルートフォース)
- 🔁 何を試す?:すべてのパスワードの組み合わせ
- 🔐 攻撃例:0000 → 0001 → 0002 …9999
- 🧠 攻撃者の考え:「全部試せば、いつか当たるでしょ」
📚 ② 辞書攻撃
- 🔁 何を試す?:「よく使われるパスワード集」だけを試す
- 📖 辞書の例:
password/123456/qwertyなど - 🧠 攻撃者の考え:「どうせ 'password' でしょ?」
🔄 ③ リバースブルートフォース攻撃
- 🔁 何を試す?:パスワード固定+大量のIDを試す
- 🎯 攻撃例:「123456」ってパスワードで色んなアカウントにログイン
- 🧠 攻撃者の考え:「このパスワード、誰かが使ってるでしょ?」
🗂️ ④ パスワードリスト攻撃(Credential Stuffing)
- 🔁 何を試す?:漏洩した ID+パスワード の組み合わせを使い回し
- 💥 被害例:Aサービスで流出 → Bサービスにログイン
- 🧠 攻撃者の考え:「同じパスワード使い回してる人、多いからね〜」
📗 次回予定:
→ #04「WAF・IDS・IPSってなにがどう違うの?」やさしく使い分け整理