石田宏実.com

他人のfacebookを乗っ取る方法 ~ ブルートフォースアタックの仕組みを知る

乗っ取り被害に遭いました。人生で初めてです。

SnapCrab_NoName_2016-5-13_13-57-26_No-00

もしかしたらこの前書いたこれらの記事で、恨みを買ったのかもしれません(冗談です)

LightStrike360は詐欺? 700ルーメンで12,500円は高すぎる!
iPhone×ソフトバンク(怒) 5870円の謎が判明

単に「乗っ取ろうとしたけど失敗」なのか、実際に「乗っ取り成功!」なのかはわかりません。
しかし誰かが何かをしようとしていたことだけは確か。

 

ブルートフォースアタックとは?

count

実はどんなパスワードでも理論上は破られます。「破られる」というのは「バレる」ということです。

つまり

あなたがどんなに複雑なパスワードを設定しようとも、関係なく勝手にログインされる

のです。

「ブルートフォースアタック」を使うことで可能です。

説明します。簡単です。「総当り」です。

 

たとえばあなたのfacebookパスワードが「ohayou」だとします(おはようのローマ字)。

ブルートフォースアタックは「総当り」なので、以下の順番でパスワードを入力してログインを試みます。

a
b
c
d
e

(中略)

z
za
zb
zc
zd
ze
zf
(中略)

zz
zza
zzb
zzc

のように、すべてのパスワードを試すのです。凄いでしょw

そしてある時にこうなります。

ohayor

ohayos

ohayot

ohayou

はい!「おはよう」になりました。
まさに力づく。

20101108_735419

そしてそれはもちろん手作業ではありません。ソフト化します。

そして簡単です。試しに作ってみました。

これはWordPressのログインをブルートフォースアタックで突破しようとするデモです。
これがもしfacebookなら、何度かアタックを試みた段階で警告されるはずです。そしてこうなります。

SnapCrab_NoName_2016-5-13_13-57-26_No-00

その後、ログインできるようになるためには自分の携帯電話番号に6桁の暗証番号を送ってもらいます。その番号を入力することでロックが解除。
そんな仕組み。

 

こうなると人間、初めて慎重になります。さっそく以下の設定をしました。

「設定」を開きます。

SnapCrab_NoName_2016-5-13_14-14-4_No-00

 

セキュリティ→ログインアラートの右の「編集」をクリック。

SnapCrab_NoName_2016-5-13_14-14-39_No-00

「お知らせを受け取る」「ログインアラートメールを送信」にチェック。

SnapCrab_NoName_2016-5-13_14-15-56_No-00

 

一応これもチェック。

SnapCrab_NoName_2016-5-13_14-16-48_No-00

 

これで少し安心できます。面倒ですが、勝手にログインされたら大変ですからね。勝手にアダルトサイトへのリンクを投稿されたり、「○○さんは馬鹿だ!」とか書かれたら大変w

油断せずに対策した方がいいですね。いやぁ焦りました。

 

と、いろいろ脅かしましたが、実際には物凄い数を試行しなければなりません。

たとえば数字だけ4桁だと、10の4乗=10000通りですが、英数字となると36の4乗なので160万
わずか4桁でこれです。

さらに英数字8桁となると2兆8千万(!) 現実的ではない天文学的数字です。

しかし!アルファベットには、大文字小文字の区別もありますので26が2つ=52。これに数字10を加算で62。

62の8乗は218兆(!)

2016-05-13 14.27.35

12桁のパスワードだと・・・もうさらにさらに天文学的数字。

さらに最近だといくつか記号を入れることを強制していることも多く、その場合もっと多くなるでしょう。

 

facebookのように、ある程度ログインが失敗したら一時的にロックしてくれるのでブルートフォースアタックは不可能です。
ただそのような対策がされていないサービスやソフトもたくさんあるので油断できません。

とはいえ218兆通りを、動画の方法でブルートフォースアタックするには(仮に1秒で1回試すことができたとしても)666年かかるので(w)普通は大丈夫です。

Return Top