>
>
公開日
インターネット上のさまざまなWebサービスや社内システムにおいて、不正アクセスの脅威は絶えません。その中でも代表的なサイバー攻撃手法が「ブルートフォース攻撃(総当たり攻撃)」です。しかし、2026年現在、攻撃者はAIツールを悪用して解析速度を劇的に向上させており、かつて推奨されていた「英数記号を交ぜた8文字のパスワード」は瞬時に突破されるレベルにまで形骸化しています。
本記事は、企業のセキュリティ対策やセキュリティ対策、およびユーザーのアカウント管理を担当する情報システム部門(情シス)やセキュリティ責任者を主な対象としています。従来の「定期的なパスワード変更」といった古いセキュリティ常識から脱却し、NIST(米国国立標準技術研究所)の最新ガイドラインに準拠した「15文字以上のパスフレーズ」や、強力な「パスキー(FIDO2)」を用いた2026年最新の実践的な防衛ガイドをお届けします。
ブルートフォース攻撃とは?AIの悪用で激変する2026年の最新脅威
静的な8文字パスワードによる境界防御は、攻撃用AIの普及で実質的に機能しなくなっています。認証基盤の見直しが急務です。
この記事でわかること
AIツール悪用による攻撃高速化の実態と、8文字パスワードが無力化している理由がわかる
高性能GPUやAIの進化により、従来の英数記号混在の8文字パスワードが突破されるまでの時間がわかる
日本証券業協会(JSDA)ガイドライン等によるパスキー・多要素認証の義務化の背景がわかる
NIST最新基準(SP 800-63B Rev.4)でパスワード定期変更が否定された理由と、15文字以上パスフレーズ推奨への移行方法がわかる
ブルートフォース攻撃(総当たり攻撃、英語:brute force attack)とは、サイバー攻撃手法の一つで、可能性のあるすべての文字や記号、数字の組み合わせを片端から試行して、パスワードや暗号キーを強引に解読する手法です。brute forceという言葉には「力づく」「荒っぽい」という意味があり、特別な技術的脆弱性を突かなくても、時間と計算資源さえあればいずれ必ず突破できるのが特徴です。
しかし、2026年現在、ダークウェブ上で「BruteForceAI」や「HexStrike AI」といった大規模言語モデル(LLM)統合型の自動攻撃ツールが爆発的に普及したことで状況は激変しました。攻撃速度は大幅に向上し、かつて推奨されていた英数記号混在の8文字パスワードは、高性能GPUを並べた現代の解析システムの前に数秒から数分で破られるレベルまで無力化しています。また、世界のパスワードレス認証市場は2026年に最大276億6,000万米ドルに達すると予測されており(グローバルインフォメーション調査レポート, 2024)、パスワードに依存した認証方法自体が最大のセキュリティリスクとなっています。
ブルートフォース攻撃の手法と検知を困難にする最新手口
従来の海外IP一括遮断や特定の接続拒否といった境界防御は、一般家庭のIoT機器を踏み台にする分散型攻撃の前には機能しません。
ブルートフォース攻撃を大別すると、文字を順番に組み合わせる「単純なブルートフォース攻撃」と、よく使われるパスワードやフレーズのリストを用いる「辞書攻撃」、誕生日や名前など特定のターゲットの個人情報をベースに推測効率を高めた「スマートブルートフォース攻撃」が存在します。
これらに加え、現在猛威を振るっているのが、システムやアカウントへの不正アクセスを試みるための「レジデンシャルプロキシ(一般家庭のルーターやスマート家電などのIoT機器を乗っ取ったプロキシネットワーク)」を悪用した、大規模かつ分散型のIP攻撃です。1日あたり280万件以上の分散IPを経由して「日本国内の一般プロバイダーの一般ユーザー」を偽装したアクセスを執拗に繰り返すため(参考:The Shadowserver Foundation)、従来の「海外IPアドレスの一括拒否」や「特定IPからの連続アクセスのブロック」といった境界防御では、正当なユーザーと攻撃者を見分けることが極めて困難になっています。
ブルートフォース攻撃と類似手法の違い(リバース・スプレー・リスト攻撃)
攻撃者はアカウントロックを回避するため、ターゲットIDとパスワードの組み合わせを巧みに変えて攻撃を仕掛けてきます。
セキュリティ運用の現場で最も混同しやすいのが、各種のパスワード系不正ログイン攻撃です。アカウントロック機能や検知ルールをすり抜けるために攻撃者が用いる戦略の違いを、以下の比較表に整理しました。
攻撃手法 | ターゲットID | 使用するパスワード | 特徴・検知を避ける仕組み |
|---|---|---|---|
ブルートフォース攻撃(総当たり) | 特定の1つのID(例: admin) | 考えられるすべての組み合わせ(大量) | 1つのIDを執拗に攻めるため、最もアカウントロックにかかりやすい。 |
リバースブルートフォース攻撃 | 不特定多数のID | 特定の1つのパスワード(例: password123) | IDを切り替えながら試すため、個別IDのアカウントロック機能を回避しやすい。 |
パスワードスプレー攻撃 | 不特定多数のID | 一般的に使われがちな複数のリスト | アカウントロック制限に引っかからないよう、時間を置きながら「薄く広く」試す。 |
クレデンシャルスタッフィング(パスワードリスト攻撃) | 不特定多数のID | 他サイトから流出したIDとパスワードのリスト | ユーザーの「パスワード使い回し」を悪用する。最も突破されやすい。 |
▲ ブルートフォース攻撃と類似手法における「IDとパスワードの組み合わせ方」の違い
ブルートフォース攻撃を受けた場合の影響と実害リスク
一度でもログイン突破を許せば、甚大な金銭的被害やブランド価値の失墜だけでなく、ランサムウェア侵入の足がかりとしてシステム全体が人質に取られます。
ブルートフォース攻撃による被害は、単なるWebサイトの改ざんレベルにとどまりません。最大のリスクは個人情報の漏洩です。顧客のクレジットカード情報、マイナンバー、社内の機密文書が窃取された場合、法的な責任を追及されるだけでなく、多額の賠償が発生します。Javelin Strategy & Researchの調査によると、2024年には米国だけで約272億ドル規模のアイデンティティ詐欺被害が発生しています(Javelin Strategy & Research「2025 Identity Fraud Study」)。日本国内でも、2019年に大手コンビニ決済サービス(セブンペイ)において、他サービスから流出した認証情報を使い回す「リスト型攻撃(クレデンシャルスタッフィング)」およびパスワードリセット機能の脆弱性を突いた不正ログインが行われ、約5,500万円の不正引き出し被害に発展した有名な事例が存在します(参考:総務省「セキュリティ上の問題による大規模システム障害等について」)。
さらにBtoBのシステム担当者が警戒すべきなのは、RDP(リモートデスクトップ)やVPNのログインパスワードがブルートフォース攻撃で突破され、ランサムウェア(身代金要求型ウイルス)をシステム内に仕込まれる被害です。侵入の起点としてブルートフォースが利用されることで、数週間におよぶ業務停止や数億円単位の身代金要求を突きつけられるケースが続出しています。
▲ ブルートフォース攻撃からランサムウェア感染・事業停止に至る実害ステップ
ブルートフォース攻撃への対策とNIST最新基準による新常識
複雑なパスワードの強制や定期変更ルールはユーザーのパスワード使い回しを誘発するため、15文字以上のパスフレーズ推奨や多要素認証への移行が急務です。
ブルートフォース攻撃を防ぐための第一歩は、従来の「古いパスワード常識」を捨て去ることです。米国国立標準技術研究所が公開している最新ガイドライン(NIST SP 800-63B Rev.4)では、文字種(大文字・小文字・記号・数字)を無理に混ぜるルールや「90日ごとの強制変更」は、ユーザーが予測しやすい単純な文字変更を繰り返す原因となるため、明確に「原則不要(否定)」とされました。代わりに推奨されるのが、15文字以上の長くて覚えやすい「パスフレーズ」の利用や、パスワードマネージャーの活用です。
加えて、一定回数のログイン失敗でアカウントを一時閉鎖する「アカウントロックアウト」、多要素認証(MFA)、および不審なアクセスをリアルタイムで検知・遮断するセキュリティログ監視が必須です。以下に、自社が最低限実施すべき「パスワード&MFAセキュリティ対策セルフチェックリスト」を提示します。社内のセキュリティ状態を今すぐ見直しましょう。
✅ NIST SP 800-63B基準に則り、社内での「定期的パスワード強制変更」ルールを廃止しているか
✅ 新規パスワード設定時、複雑性の強制ではなく「15文字以上の長さ(パスフレーズ)」を推奨しているか
✅ 連続で5回〜10回ログインに失敗した際、自動でアカウントを15分〜30分ロックアウトする設定になっているか
✅ すべての社外アクセス(VPN、SaaS、管理画面)に対して、MFA(多要素認証)を義務化しているか
✅ レジデンシャルプロキシのような分散型攻撃を検知するために、WAFおよびCDNのレートリミット(リクエスト数制限)を設定しているか
▲ NIST最新基準に適合する「自社パスワード運用の見直し判断フロー」
成功事例:パスキー(FIDO2)導入によるパスワード依存からの脱却
パスキーの導入はブルートフォース攻撃をシステム構造上から完全に排除し、安全かつ極めて快適なユーザー体験を両立させます。
実際にブルートフォースや類似の認証侵害攻撃を防ぐため、従来の静的なID・パスワードから脱却した国内先進企業の成功事例を2つご紹介します。
事例1:SBI証券(業種・規模:証券業最大手、導入:2025年10月)(参考:SBI証券公式サイト)
・課題: 証券口座を狙った不正ログインやブルートフォース・辞書攻撃、フィッシングによる認証情報窃取への抜本的対策が必要でした。
・施策: 2025年10月25日よりメインサイトに「パスキー(FIDO)認証」を導入。さらに2026年6月より全アプリへの適用を開始。パスワード文字数を10文字以上かつ英数記号混在へと引き上げ、アカウントロックの厳格化と併用しました。
・成果: 静的パスワードのやり取りをなくしたことで、ブルートフォース攻撃による不正アクセスの余地をシステム構造上から完全に消滅させました。
事例2:ウェルスナビ(業種・規模:ロボアドバイザー、導入:2025年9月)(参考:ウェルスナビ プレスリリース)
・課題: 預かり資産1兆7,000億円を超える顧客資産の強固な保護と、従来の二要素認証による利便性低下(入力の手間)の解消を同時に目指しました。
・施策: スマホ・PC・アプリのすべてに対応した「パスキー(FIDO2準拠)」の多要素認証を導入しました。
・成果: 導入翌日の9月4日時点で、わずか1日で1万人を超えるユーザーが登録。1ヶ月で10万人が移行に成功し、FIDOアライアンス調査が示す「パスキー導入による認証成功率93%・ログイン時間73%短縮」という抜群の安全基準と高い利便性を最速で実証しました。
ブルートフォース対策で陥りがちな2つの誤解と失敗パターン
古いセキュリティポリシーの強制や、MFA導入に満足した運用は、巧妙化するサイバー攻撃の格好の標的になります。
失敗パターン①:「90日ごとの定期変更ルール」を強制し続けている
いまだ多くの日本企業で運用されている「定期的なパスワード変更の強制」は、セキュリティ対策において今や「逆効果」です。頻繁な変更を強いられたユーザーは「Password123!」から「Password124!」のように、末尾の数字を1つ増やすだけの安易なパターンを繰り返します。攻撃用AIはこうしたユーザーの心理や行動パターンも完全にアルゴリズムに組み込んでいるため、定期変更によって強度が上がるどころか、予測しやすい脆弱なパスワードを量産することになります。定期変更ルールを即刻廃止し、パスワードマネージャーの利用と文字数の拡張へ舵を切るべきです。
失敗パターン②:「多要素認証(MFA)を導入したから100%安全」と過信している
MFAを導入していても、ブルートフォース攻撃者がパスワードを突破した後、ユーザーのスマートフォンなどの認証アプリに対し、プッシュ通知を何十回、何百回と送り続ける「MFA疲労攻撃(MFA fatigue / MFAプロンプト爆撃)」により強引に承認させて突破する事案が多発しています。ユーザーが「通知の連打を止めたい」「自分がログインしたのだろう」と思い込み誤って承認をタップしてしまうのが原因です。これに対抗するには、ログイン画面に表示された数字をデバイス側に入力させる「ナンバーマッチング(数値の一致)」方式を標準とすることが必須です。
ブルートフォース攻撃に関するよくある質問(FAQ)
Q:ブルートフォース攻撃の平均解析時間はどれくらいですか?
A:パスワードの長さと複雑さに依存しますが、攻撃用AIや高性能GPUが進化した2026年現在、英数記号を交ぜた8文字のパスワードでも数秒から数分で破られる恐れがあります。一方で、15文字以上のパスフレーズを使用すれば、現実的な時間内での解析は不可能になります。
Q:パスワードの定期的な強制変更は、本当に不要ですか?
A:はい、NIST(米国国立標準技術研究所)の最新ガイドライン(SP 800-63B Rev.4)において、定期変更の強制は原則不要とされています。変更を繰り返すとユーザーが安易な文字列の使い回しをするため、かえって危険性が増すというのが理由です。
Q:MFA疲労攻撃(MFAプロンプト爆撃)を防ぐ方法とは?
A:単にタップするだけで認証される単純なプッシュ通知を廃止し、「ナンバーマッチング(数値の一致)」方式を導入することが有効です。ログイン画面に表示された正確な数字を手動で入力させることで、誤承認による突破を防ぎやすくなります。
まとめ
ブルートフォース攻撃を防ぎ、強固な認証基盤を構築するために
ブルートフォース攻撃は、AIの悪用やレジデンシャルプロキシといった攻撃側の著しいテクノロジー進化により、従来の単純な「総当たり」から「極めて検知が難しく、突破力の高い自動攻撃」へと深刻化しています。企業のシステムや顧客資産を守るためには、もはや旧時代のパスワード運用では対抗できません。
明日からできる最初の一歩として、まずは形骸化した「社内パスワードの定期的強制変更ルール」を見直し、15文字以上のパスフレーズ推奨への移行に着手しましょう。そして中長期的には、SBI証券やウェルスナビのように「パスキー(FIDO2)」をはじめとするパスワードレス認証の導入や、MFAにおけるナンバーマッチング方式への切り替えを計画することが、自社の認証基盤を強化する上で、最も現実的かつ効果の高いアプローチです。
✅ 今日からできるアクションチェックリスト
✅ 社内の「定期的パスワード強制変更ルール」を廃止し、パスワードマネージャーの利用を推奨する
✅ パスワードポリシーを「15文字以上のパスフレーズ推奨」に更新する
✅ MFA(多要素認証)のプッシュ通知方式を「ナンバーマッチング」方式に切り替える
✅ パスキー(FIDO2)導入の検討・PoC計画をセキュリティロードマップに追加する
✅ WAFおよびCDNのレートリミット設定を見直し、分散型ブルートフォース攻撃への対策を強化する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
