Hello there, ('ω')ノ
✅ ユーザー名ブルートフォースとは?
ログイン認証の第一歩は「ユーザー名の特定」です。 攻撃者は、パスワードを試す前にまず 存在するユーザー名(ログインID)を見つけようとします。
🎯 なぜユーザー名が狙われるのか?
- 多くのサイトは ユーザー名が推測しやすい
- 成功するユーザー名がわかれば、後はパスワードの総当たりだけで侵入可能
- エラーメッセージの違いから、ユーザー名の存在を判断できることも
🔍 推測されやすいユーザー名の例
| パターン | 例 |
|---|---|
| メール形式 | john.doe@company.com |
| シンプルな単語 | admin, administrator, support |
| 役職ベース | itadmin, hrmanager |
| 名前+誕生年 | alice1990, bob85 |
🕵️♂️ 情報収集時のチェックポイント
✅ プロファイルページに注目
- ログインしていなくてもアクセスできる?
- URLやHTML内に
username,userId,emailなどが含まれていないか? - 表示名とログインIDが一致していそうか?
✅ HTTPレスポンスの中身
- メールアドレスが露出している箇所(例:お問い合わせ先、投稿者情報)
- 高権限ユーザー(管理者やIT部門)の情報が含まれていないか
🧠 実践アドバイス
- 名前やメール形式にパターンがあれば、自動生成ツールでリストを作れる
- 「ユーザー名が正しいがパスワードが間違っている」時の挙動(メッセージ、ステータスコード、レスポンスサイズ)を比較する
- 目立たないUIの一部にメールアドレスがハードコードされていることがある(JS内、HTMLコメント、APIレスポンスなど)
✅ まとめ
ユーザー名はパスワードと同じくらい重要な認証情報です。 特に予測しやすい名前やパターンがある場合、それだけで攻撃者の足がかりになります。
- 予測可能なユーザー名 → パスワードブルートフォースの起点
- 情報漏洩ページやフィードバック内容などにも注意
Best regards, (^^ゞ
