ブルートフォース攻撃

Brute Force Attack 攻撃手法

ID/パスワード等を総当たりで試行する古典的な攻撃手法。

概要

ブルートフォース攻撃は、ログイン認証のID・パスワードを機械的に総当たりで試行する攻撃手法です。攻撃者は事前に収集したユーザー名リストや、よく使われるパスワード辞書(rockyou.txt等)を用い、自動化ツールで毎秒数十〜数百回のログイン試行を行います。

対象はSSH (ポート22)、WordPress管理画面 (wp-login.php / xmlrpc.php)、メールサーバー (POP3/IMAP/SMTP)、データベースなど認証を伴うあらゆるサービスです。短いパスワードや辞書語、推測されやすい文字列を使っている場合、数時間〜数日で突破される可能性があります。

対策の基本は (1) 強固なパスワードポリシー、(2) 公開鍵認証への切り替え、(3) ログイン試行回数の制限とIPブロック、(4) 多要素認証(MFA)です。Webサーバー側ではfail2banやnftablesによる動的ブロックが定番の防御となります。

Scanrollはこう守る

Scanrollは、SSH認証ログ(/var/log/secure等)を継続監視し、短時間に多数の認証失敗を起こした送信元IPを自動検知して、nftablesでブロックします。WordPressのwp-login.php / xmlrpc.phpへの大量リクエストも同様に検知し、攻撃者IPを即時遮断します。