ブルートフォース攻撃とは？筋肉バカな手口と秒で破られるパスワード

ブルートフォース攻撃（総当たり攻撃）←要は馬鹿力です
全部試せばいつか当たる理論
時間は泥棒の味方ではない
あなたのパスワードが「瞬殺」される理由
1. 短さは罪、単純さは命取り
今日からできる鉄壁の防御策
まとめ

ブルートフォース攻撃（総当たり攻撃）←要は馬鹿力です

ハッキングと聞くと、あなたは想像するかもしれません。

フードを被った天才が暗い部屋でキーボードを高速連打し、難解なコードを打ち込んでセキュリティの壁を突破するシーンを。

映画の見過ぎです。

現実のブルートフォース攻撃は、そんな知的でスマートなものではありません。

名前の通り「Brute Force（力ずく）」。つまり「馬鹿力」です。

知恵なんて使いません。

ただひたすらに、正解が出るまで「全てのパターンを試す」。それだけです。

これは技術ではなく根性です。

しかし、疲れることを知らないコンピューターがこの「根性」を持つと、厄介な暴力装置へと変わります。

今日はこの脳みそ筋肉な攻撃手法の正体と、あなたが秒でカモにされないための知識を解説します。

全部試せばいつか当たる理論

仕組みは極めて単純です。

ここに4桁のダイヤル式南京錠があります。「0000」から「9999」まで、全部で1万通り。あなたが鍵の番号を忘れたらどうしますか。勘で「1234」と回しますか。違います。確実に開ける方法は一つ。

「0000」から順番に一つずつ回していけばいいのです。

これがブルートフォース攻撃の全貌です。攻撃プログラムは、ログイン画面の前で休みなく入力を続けます。

「a」…違う。
「b」…違う。
（中略）
「password」…ビンゴ！侵入成功。

なんの工夫もありません。

全ての鍵穴に、持っている全ての鍵を順番にねじ込むだけ。

人間がやれば発狂する作業ですが、コンピューターは文句を言いません。

ブラック企業の社員よりも忠実に、24時間365日、ひたすら壁を殴り続けます。壁が壊れるまでやれば、必ず壊れる。そういう暴力的な理屈です。

時間は泥棒の味方ではない

「全部試すなんて時間がかかるだろう」と高を括ったあなた。まだ認識が甘いです。

昔のパソコンなら、この作業に何年もかかりました。しかし今は違います。画像処理やゲームに使われる高性能なチップ（GPU）は、単純な計算を同時に処理する化け物です。

これを使えば、パスワードの候補を1秒間にとんでもない回数を試せます。

4桁の数字パスワードなど、瞬きする間に突破されます。

攻撃者にとって、単純なパスワードを破る時間は、あなたがスマホやパソコンの電源を押す時間よりも短いのです。

あなたのパスワードが「瞬殺」される理由

パスワードが破られる時、そこにあなたの情報は必要ありません。

住所も、名前も、誕生日も関係ない。攻撃者はただ、辞書に載っている単語や、よく使われる文字列を機械的に試したり、前述のとおり全パターン試したりするだけです。

短さは罪、単純さは命取り

「覚えにくいから」という理由で、パスワードを8文字以下にしていませんか。あるいは「123456」や「qwerty」のような配列を使っていませんか。

それは玄関の鍵をかけずに外出するのと同じです。

パスワードの強度は「文字数」と「種類の多さ」で決まります。

数字だけで4桁なら1万通りですが、そこに小文字のアルファベットを加えれば組み合わせは爆発的に増えます。

大文字、記号を混ぜれば、宇宙の星の数ほどのパターンになります。

組み合わせが増えれば、いくら高性能なコンピューターでも、すべてを試すのに何百年、何千年、それ以上…とかかるようになります。

これが唯一の防御壁です。攻撃者に「これを破るには俺の寿命が足りない」と思わせた時点で、あなたの勝ちです。

今日からできる鉄壁の防御策

「攻撃が怖いのでネットをやめます」では解決になりません。文明人として生きる以上、正しい盾を持つ必要があります。

パスワードは「長く、汚く」しろ

美しい単語を使うのはやめてください。自分の名前も、愛犬の名前も不要です。意味のない文字列の羅列こそが正義です。

「長く、汚く」

あくまで目安だが、最低でも12文字以上（できればもっと長く）
大文字、小文字、数字、記号を全て混ぜる（システムで使用できる範囲で）
人間には覚えにくく、コンピューターには解読不能にする

この状態を作ってください。

ブラウザなどの「パスワード自動生成」機能を使うのが賢明です。自分で考えたパスワードは、どこかで無意識の法則（自分の誕生日など）が入り込み、予測されやすくなる可能性があります。

回数制限という最強の門番

どれほど強力なパスワードでも、無限に試行回数を与えればいつかは破られます。そこで有効なのが「アカウントロック」です。

スマホの画面ロックを思い出してください。「パスコードを5回間違えると1分間入力できません」と表示されます。これです。

攻撃プログラムは「1秒間に何億回も試せる」から強いのです。たとえば、「10回間違えたら10分待機」となれば、本記事で紹介しているブルートフォース攻撃は完全に無力化します。

ウェブサービスを選ぶ際は、この機能（特定回数の失敗でアカウントをロックする仕組み）があるかどうかもチェックポイントです。

2段階認証：二重の扉

最後に、強力な保険をかけます。それが「2段階認証（多要素認証）」です。

万が一、馬鹿力によってパスワードを突破されても、「認証コードをあなたのスマホに送りました」という壁が立ちはだかります。

攻撃者の手元にあなたのスマホはありません。ここで攻撃は詰みです。

「面倒くさい」と言わずに設定してください。その一手間が、あなたのデジタル資産を略奪者から守る砦となります。

まとめ

ブルートフォース攻撃は、洗練されたハッキング技術ではありません。ただの「総当たり」であり、デジタル空間における暴力です。しかし、シンプルだからこそ強力で、防ぐのが難しい脅威となり得ます。

対策は明確です。

長く複雑なパスワードを設定する
2段階認証で鍵を二重にかける

あなたが怠けなければ、この筋肉ダルマのような攻撃は一切通用しません。コンピュータの暴力には、冷徹なまでの「複雑さ」で対抗しましょう。それがスマートな現代人の生存術です。