読み方：そうあたりこうげき

概要

総当たり攻撃（brute force attack）とは、暗号の解読やパスワードの割り出しなどに用いられる手法の一つで、割り出したい秘密の情報について、考えられるすべてのパターンをリストアップし、片っ端から検証する方式。

暗号鍵やパスワード、暗証番号（PIN）などを割り出す手法の一つで、コンピュータプログラムを用いて可能性のある符号列を自動的に生成し、順番に一つずつ正解かどうか試してみる。時間や試行回数に制限が無ければいつかは必ず解読できる。“brute force” とは「力づく」の意。

例えば、暗証番号が数字4桁のシステムの場合、「0000」から「9999」までの1万通りの可能性がある。人の手で番号の入力などを1万回行うのは大変だが、試行をコンピュータで自動化することが可能な状況ならば瞬時に終わらせることができる。

総当たり攻撃に対抗する最も単純な方法は符号列を長くするか、使用する文字の種類を増やすことである。例えば、4桁の番号の組み合わせは1万通りだが、8桁ならば1億通りになる。また、n桁の番号（数字のみ）の組み合わせは10ⁿ通りだが、数字・英大文字・英小文字の組み合わせならば62ⁿ通りとなる。

組み合わせの数がどの程度あれば安全と言えるかはその時代のコンピュータや通信回線の性能次第となる。半導体技術の発展により以前ならば十分安全だった暗号鍵やハッシュ値、パスワードなどが現実的な時間で解読できるようになってしまうことがある。実際、10年前や20年前と比べると、現在はより長い符号、より複雑なパスワードが求められるようになっている。

また、符号が短くても試行回数や速度を制限することで攻撃を難しくすることは可能である。例えば、一定の回数連続で誤った入力を試すとアカウントがロックされ、規定の方法（一定時間の経過や管理者による操作など）で解除しない限り再試行できないといった仕組みである。人間が頻繁に符号を入力しなければならない端末のパスコードやPINなどでよく用いられる。