シングルサインオン(SSO)は総当たり攻撃(ブルートフォースアタック)にも有効?
公開日: |更新日:
1回の認証で複数のサービスへのログインを可能とするSSOは、ユーザーの利便性を向上する一方でセキュリティ面のリスクが気になるところです。総当たり攻撃に対してSSOが有効かどうかについて解説します。
総当たり攻撃とは
総当たり攻撃は暗号鍵やパスワードの割り出しに用いられる手法です。英語では力尽くでの攻撃を意味する"brute force attack"(ブルーフォースアタック)と呼ばれています。
暗号鍵やパスワードが有限文字数かつ限られた文字で作り出されている以上、すべての組み合わせを試せばいつかは当たるという考えでおこなわれる攻撃です。
対抗措置としてはパスワードの桁数を増やす、使用数文字種を増やすといったものがありますが、コンピュータの処理速度向上により現実的な時間で解読可能なパスワードの桁数や文字種の組み合わせが増えています。
総当たり攻撃と似た攻撃として以下3つの手法も紹介しましょう。
リスト型攻撃
リスト型攻撃とは、何らかの手段で入手したIDとパスワードの組み合わせのリストを使って不正なログインを試みる手法です。
ユーザーのなかには同じIDとパスワードの組み合わせを複数のサービスで使っていることがあり、そのような場合に有効な攻撃といえます。
対抗措置としてはサービスごとにIDとパスワードの組み合わせを変えるのが効果的です。
辞書攻撃
辞書攻撃とは辞書や人名録などに掲載されている、人間に取って意味がある単語を使って不正なログインを試みる手法です。
人間は覚えやすさの観点から意味のある単語をパスワード全体あるいはその一部として使いがちであり、総当たり攻撃よりも効率よくログイン試行ができます。
対抗措置としてはパスワードをランダムな文字列にするのが良いでしょう。
リバースブルートフォース攻撃
リバースブルートフォース攻撃とは、あるパスワードに対してログイン可能なIDを見つける攻撃手法です。
通常の総当たり攻撃の場合、IDを固定しパスワードを総当たりで変更しながら不正なログインを試みます。この場合、同じIDで一定回数以上の認証失敗を検知してアカウントロックすればそれ以上攻撃できません。
一方、リバースブルートフォース攻撃の場合はパスワードを固定してIDを変更するためアカウントロックによる防御ができません。
対抗措置としては、パスワードとして使われがちな電話番号、誕生日、名前などを使用しない、サービスごとに異なるパスワードを使うなどが挙げられます。
総当たり攻撃による被害とは
総当たり攻撃によって情報漏洩が発生した場合、さまざまなリスクが生じます。
データ改ざん
サービスに不正ログインできると、登録されている内容や公開されている内容が自由に変更できるようになります。
たとえば企業のサイトが改ざんされればイメージダウンは免れられないでしょう。
アカウントのなりすまし
サービスに不正ログインできると、そのアカウントになりすますことが可能になります。
SNSに不正ログインされた場合、本人を装って家族や友だちにフィッシングメールを送ったり、銀行口座の暗証番号を聞き出したりされてしまうかもしれません。
総当たり攻撃によって被害にあうのは、不正ログインされた本人だけとは限らないのです。
クレジットカード等の不正利用
クレジットカード情報を登録しているネットショップに不正ログインされた場合、そのクレジットカードを自由に使って買い物をされてしまいます。
いつのまにか多額の請求が来ていたということがあり得るかもしれません。
総当たり攻撃による被害事例
総当たり攻撃による被害は可能性だけのものではなく、実際に起きています。
たとえば2022年には図書館運営事業を手がける株式会社ヴィアックスが総当たり攻撃で勤怠システムに侵入され、身代金の要求をされました。
また同じ年に名古屋大学医学部附属病院も総当たり攻撃によって個人情報416名分を流出させています。
このように総当たり攻撃は決して非現実的なものではなく、いつ自分の身に降りかかってきてもおかしくないものなのです。
総当たり攻撃への対策
総当たり攻撃に対抗するための方法をご紹介します。
パスワード入力回数の制限
総当たり攻撃が成功するには大量のパスワード入力回数が必要です。そこで、一定回数以上認証に失敗したらアカウントロックをおこなうことにより総当たり攻撃のリスクを下げられます。
IPをロックアウト
総当たり攻撃は一般的に、限られた数のサーバーから大量のログイン試行をします。そこで、一定回数以上認証に失敗したら、そのIPアドレスからの認証をロックアウトすることで対抗可能です。この方法はリバースブルートフォース攻撃にも有効でしょう。
再試行の遅延
総当たり攻撃による認証試行回数を減らすため、パスワードの認証に失敗したら次に認証をおこなえるようになるまで一定時間の遅延を設けるのも効果的です。どれだけ高速なサーバーを使っても数に物をいわせた攻撃ができなくなります。
再試行以外のアクションを要求
パスワードの認証に失敗したらすぐに次のパスワードを入力できるようにするのではなく、別のアクションを要求するのも良いでしょう。たとえばあらかじめ設定しておいた秘密の質問への回答を入力させるなどが考えられます。
未知のデバイス・ブラウザ・IPからのアクセスを拒否
総当たり攻撃だけでなくさまざまな攻撃に対して有効なのが、あらかじめ設定しておいたデバイス・ブラウザ・IPアドレスからの認証以外は拒否するというもの。攻撃者はサービスの前にデバイスを乗っ取らなくてはいけなくなるため、難易度が格段に上がります。
CAPTCHAの利用
CAPTCHAとは認証の際にゆがんだ文字や数字、画像の読み取りを要求し、人間が認証をおこなおうとしていることを証明するためのものです。単なるパスワードの大量入力だけで攻撃ができなくなるため、総当たり攻撃を受けにくくなります。
SAML認証&多要素認証
多要素認証とは複数の認証の組み合わせでログインを許可するものです。たとえばパスワードに加えて、登録した携帯電話番号に送信されるランダムな数字列を入力させるようにすれば、たとえばパスワードが総当たり攻撃で破られても不正ログインできません。
これにSAML認証によるSSOを加えることで利便性を確保できます。SAML認証とは1度認証に成功すると、複数のサービスでその認証情報を共有できるもの。ユーザーは多要素認証によるログインを1回だけおこなえば、SAML認証で可能となるSSOに対応したサービスがそのまま利用できるようになります。
SSO選びには総当たり攻撃への対策を考慮しよう
この記事で紹介したように、総当たり攻撃は古典的かつ単純ながら現在でも不正ログインの事例が後を絶たない攻撃です。
SSOを提供するサービスを選ぶ際も総当たり攻撃への対策をしっかりチェックする必要があります。
本サイトのトップページでおすすめのSSOサービスを詳しく紹介していますのでぜひ参考にしてください。
無料トライアル×5,000種以上のアプリ・サービスに対応
シングルサインオン(SSO)
製品で比較
2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中から、それぞれ「オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業」「今回調査を行ったクラウドシステムの中で、自社システムの導入社数実績が最も多かった企業(※編集チーム調べ)」「無料プランがあり、既存環境の変更をせずに使用できる唯一の企業」をそれぞれ選出。対応アプリ数と導入・サポート、費用で比較しました。
※横スクロールします。
オンプレミス
AccessMatrix
|
クラウド
Okta |
クラウド
トラスト・ログイン |
|
対応アプリ・ サービス |
全てのアプリ
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
|
7,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
|
5,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
|
---|---|---|---|
導入・ サポート |
|
|
|
料金 |
380円/ユーザー/月額
|
要問合せ
一般的な利用例は、月額2ドル~
|
330円/ID/月額
|
※選定条件:2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中で.、下記の条件に当てはまるものをピックアップ。
・AccessMatrix USO
オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業
・Okta
今回調査を行った会社の中で、シングルサインオンを含む自社提供サービスを導入している会社の数が18,000社とNo.1
・GMOトラスト・ログイン
無料プランがあり、既存環境の変更をせずに使用できる唯一の企業
よく読まれているページ