【基本情報 平成27年秋期 午前問37】ブルートフォース攻撃の定義に関する問題を解説

ブルートフォース攻撃とはどのような攻撃かの理解を問う問題。ア～エはそれぞれ暗号に対する攻撃手法の説明になっています。

ブルートフォース攻撃の定義を一問一答的に理解していれば解ける問題になっています。

ブルートフォース攻撃とは

暗号の世界におけるブルートフォース(Brute-force)とは「力ずく」とか「ゴリ押し」というニュアンスです。bruteは「理性のない」「体力のみによる」などという意味の形容詞で、brute forceは暴力という意味があります。

ブルートフォース攻撃は、可能性のある鍵候補を片っ端から試してみることによりセキュリティの突破を試みます。総当たり攻撃と言ったりもします。まさにごり押し。

イメージ的にはダイヤルロックの数字を忘れてしまったときに、0から9999まで順番に試していく、という感じ。

単純な手法ではありますが、ITの世界ではコンピュータの性能が向上していますので、細かいことを考えなくても総当たりであっさり突破できることも増えてきました。いろんなｋ攻撃手法をつぶしたけど、単純な総当たりに対する強度を対策し忘れてた、なんてことは避けたいですね。

対策としては、鍵の候補をめちゃくちゃ増やすというのがあります。暗号鍵のビット数を増やすのがこれに当たります。

短時間に何回もチャレンジできないようなシステムにしておくことも有効です。暗証番号の入力を3回くらいミスったら、しばらく入力できなくなるシステムは増えてきましたね。

 

ブルートフォース攻撃の解説はこの辺にして、ここからは選択肢をひとつずつ見ていきます。

アの解説

「総当たり」というのがキーワードですね。可能性のある鍵を一つずつ試していくという事です。これはブルートフォース攻撃の特徴です。というわけでアが正解です。

イの解説

これは線形解読法とよばれる攻撃手法の説明になっています。したがってイは×。

線形解読法はブロック暗号などに対して有効な攻撃手法です。共通鍵暗号DESの解読に初めて成功したのもこの攻撃です。

公開鍵暗号は巨大な数字を数学的に計算して処理しますが、ブロック暗号は小さめの数字を機械的にカチャカチャやっている感じなので、統計的なクセみたいなものが出る場合がありますし、偏りが出た場合にわかりやすいです。

ドンピシャで重要な情報がばれてしまうわけではないのですが、鍵の選択肢を減らせるので、コンピュータの処理能力次第でブルートフォース攻撃の範囲まで持ってこれる場合があります。そうなってしまえば、DESのように解読されてしまいます。

ウの解説

これはサイドチャネル攻撃と呼ばれる攻撃手法の説明です。したがってウは×。

「サイドチャネル(side-channel)」とは「わき道」などといった道です。正攻法ではない、といったところですね。

暗号への攻撃というと、数学的な穴を探したり、統計データを集めたりなどソフトウェア的な弱点に対する攻撃が思い浮かびますね。しかしサイドチャネル攻撃はハードウェア的な欠点を狙うものです。

この選択肢にあるように装置の電磁波を解析したり、電力の波形を見たり、異常な衝撃や電力を与えることによって得たバグデータを活用したりなど、いろんな種類があります。

藤井君に将棋で勝てないけど喧嘩なら勝てる、あらかじめ戦闘不能にしておけば将棋でも不戦勝だ！　こんなネット民の冗談みたいな攻撃をセキュリティの世界では真面目に対策しなければならないというわけです。

エの解説

これは差分解読法という攻撃手法の説明です。したがってエは×。

差分解読法は線形解読法と並んでブロック暗号に対してよく使われる攻撃です。

平文と暗号文をいくつかあつめて、平文どうしの差分と暗号文どうし差分を集めていくと、分布が偏る場合があります。この偏りを分析することで鍵の候補を少なくすることができます。ブルートフォースで処理できる圏内に持っていければ解読が可能となります。

類題

【応用情報 平成30年度 秋季午前 問42】ブルートフォース攻撃とは？ ブルートフォース攻撃に該当するものはどれか。 ア  WebブラウザとWebサーバの間の通信で，認証が成功してセッションが開...

こちらは応用情報の問題です。具体的な攻撃例の説明から、ブルートフォース攻撃を行っているものを選ぶもので、今回の基本情報の問題よりやや難しいです。でも、ブルートフォース攻撃のイメージ「総当たり」「ごり押し」「力ずく」といったものがちゃんと理解できていれば解けます。