リバースブルートフォース攻撃とは？「仕組み」や「ブルートフォース攻撃との違い」を解説！

パスワードを使ったログイン方式では、リバースブルートフォース攻撃（Reverse Brute Force Attack）という攻撃手法が存在します。

リバースブルートフォース攻撃はブルートフォース攻撃（総当たり攻撃）の「逆」のことを実行する攻撃です。

この記事では『ブルートフォース攻撃』について、以下の内容を図を用いてわかりやすく解説します。

• ブルートフォース攻撃（総当たり攻撃）とは？
• ブルートフォース攻撃の流れ
• 「辞書攻撃」や「リバースブルートフォース攻撃」との違い
• ブルートフォース攻撃への対策方法

リバースブルートフォース攻撃とは？

リバースブルートフォース攻撃は、「パスワードを固定」して、いろいろなユーザーIDを変えながら総当たりで試す攻撃手法です。

通常のブルートフォース攻撃では、「ユーザーIDを固定」して、いろいろなパスワードを片っ端から試していきますが、リバースブルートフォースはその逆で、「パスワーを固定」して、「ユーザーID」を変えていきます。

123456 → user1 で試す
123456 → user2 で試す
123456 → user3 で試す
…

ブルートフォース攻撃との違い

「ブルートフォース攻撃」と「リバースブルートフォース攻撃」の違いを以下の表にまとめます。

攻撃者にとって、リバースブルートフォース攻撃を利用する最大のメリットは、「アカウントロックを回避しやすい」ことです。多くのシステムでは、同じIDでログインを何度も失敗すると「アカウントロック」される仕組みがある一方で、ユーザーIDを何度間違えてもロックがかからない場合があります。そのため、「パスワードを固定してIDを変える」ことで、システムのセキュリティ対策をすり抜けて攻撃を続けられる可能性があるのです。

リバースブルートフォース攻撃への対策

リバースブルートフォース攻撃を防ぐためにできる実践的な対策を紹介します。

対策1：強力なパスワードを使う

単純なパスワードは即突破されます。以下のポイントを意識した強固なパスワードを設定しましょう。

• できるだけ長い文字数（例：12文字以上）
• 英大文字・小文字・数字・記号を混ぜる
• 「password123」など、推測されやすいものは避ける
• 意味のある単語の組み合わせも避ける
• OK例：xT!7g@2v#MnZ8Wq

対策2：二要素認証（2FA）の導入

パスワードがバレても、認証コードやスマホアプリでの認証が必要になるため、不正ログインを防げます。

対策3：ログイン試行回数の制限

たとえユーザーIDが異なっていても、一定時間内に連続でログイン失敗があった場合は制限するようにしましょう（例：1分間に10回以上の失敗ログインがあればIPを一時ブロック）。

対策4：reCAPTCHAの導入

Google reCAPTCHAなどの仕組みを使うと、ログインフォームにアクセスしてきたのが人間かボットかを判別できます。これにより、自動化ツールによる攻撃の多くを防ぐことができます。

本記事のまとめ

この記事では『ブルートフォース攻撃』について、以下の内容を説明しました。

• リバースブルートフォース攻撃は「パスワードを固定」し、「ユーザーIDを変えて」総当たりする手法。
• 一般的なアカウントロックの仕組みを回避できるため、見逃されやすく非常に危険。
• 弱いパスワードを使っているユーザーが狙われやすい。
• 強力なパスワード・2FA・CAPTCHA・IP制限などを組み合わせて防御を固めることが重要。

お読み頂きありがとうございました。