// シス担のミカタ
アイデンティティ攻撃への対策

パスワードスプレー攻撃 ぱすわーどすぷれーこうげき

ブルートフォース攻撃アカウントロックアウト多要素認証辞書攻撃クレデンシャルスタッフィングアイデンティティ攻撃
パスワードスプレー攻撃について教えて

簡単に言うとこんな感じ!

「123456」や「Password1」みたいなよくあるパスワードを、たくさんのアカウントに少しずつ試す攻撃だよ。1アカウントに集中して試すと鍵がかかっちゃうから、薄く広く”スプレー(霧吹き)“するように攻めてくるってこと!

パスワードスプレー攻撃とは

パスワードスプレー攻撃とは、攻撃者が「よく使われるパスワード」を少数選び出し、それを大量のユーザーアカウントに対して順番に試す不正アクセス手法です。「スプレー(噴霧)」の名が示すとおり、特定のターゲットに集中するのではなく、広い範囲に薄く吹きかけるように攻撃を展開するのが特徴です。

多くのシステムでは、同じアカウントへのログイン失敗が一定回数続くとアカウントロックアウト(一時的なアクセス禁止)が発動します。パスワードスプレー攻撃はこの仕組みを巧みに回避するために考案されました。1つのアカウントに対して試行するパスワードは1〜3種類に絞り、代わりに何千・何万ものアカウントへと対象を広げることでロックアウトをすり抜けます。

企業のVPN、メール、クラウドサービスなど、大人数が同じ認証基盤を共有するサービスで特に有効な攻撃手法であり、実際に大規模な情報漏洩事案でも使われてきました。「パスワードが弱いアカウントが1つでもあれば侵入できる」という点が、セキュリティ担当者にとっての最大の脅威です。

なぜ普通の攻撃と違うのか:仕組みの比較

攻撃手法アプローチロックアウト回避特徴
ブルートフォース攻撃1アカウント × 無数のパスワード✕ されやすい総当たり。アカウントがすぐロックされる
辞書攻撃1アカウント × 辞書単語リスト✕ されやすい単語ベース。やはりロックされる
パスワードスプレー攻撃多数のアカウント × 少数のパスワード✓ 回避しやすい本項。薄く広く試す
クレデンシャルスタッフィング漏洩済みID×パスワードをそのまま使い回す別サービスから流出した認証情報を利用

攻撃のステップを追ってみると

1. ターゲット組織のユーザーIDリストを収集(メールアドレス、社員番号など)

2. よく使われるパスワード上位10〜20件を選定(例: Password1! / Spring2024 / 社名+年数字)

3. 各アカウントに「パスワード1種類だけ」を試す → ロックアウト発動せず

4. 一定時間待機してから次のパスワードで同じことを繰り返す

5. ヒットしたアカウントで不正ログイン成功!

覚え方:「霧吹きvs水鉄砲」

  • 水鉄砲(ブルートフォース):1点に集中して撃ちまくる → 的(アカウント)がすぐ気づく
  • 霧吹き(スプレー):広い範囲に少量ずつ → 気づかれにくい

「スプレーは薄く広く、ロックを避けてしのび込む」と覚えると◎

歴史と背景

  • 2010年代前半:クラウドサービス(Microsoft 365、Google Workspaceなど)の普及により、単一の認証エンドポイントに膨大な数のアカウントが集まる構造が一般化
  • 2016年:米国の複数の政府機関・選挙関連組織への攻撃でパスワードスプレー手法が確認され、広く注目される
  • 2018年:マイクロソフトのセキュリティリポートが「法人向けMicrosoft 365への攻撃の大半がパスワードスプレー」と報告し、業界に衝撃を与える
  • 2019〜2020年:CISA(米国サイバーセキュリティ・インフラセキュリティ庁)が国家支援型攻撃者による頻繁な利用を警告。日本のIPAも同手法の注意喚起を発出
  • 2023年以降:AIを活用して「その組織らしいパスワード」(会社名+設立年、季節+年数字など)を生成し精度を高めた変種が登場

パスワードスプレー攻撃に対する防御策

攻撃の仕組みが分かれば、対策も立てやすくなります。下図は攻撃ルートと防御レイヤーの対応を示します。

パスワードスプレー攻撃:攻撃ルートと防御レイヤー 攻撃者の行動 IDリスト収集 (OSINT・漏洩DB) よくあるPW選定 (Password1! など) 大量アカウントへ 1種類ずつ試行 時間をおいて 次のPWで繰り返す 不正ログイン成功 → 内部侵入・情報窃取 技術的対策 多要素認証(MFA)の必須化 PW単体では侵入できない パスワードポリシー強化 長さ12文字以上・複雑性要件 スマートロックアウト 分散試行も検知・遮断 リスクベース認証 異常な場所・時間を検知 パスワードレス認証 FIDO2/生体認証へ移行 運用・管理対策 禁止パスワードリスト よくあるPWの登録を禁止 ログ監視・SIEM連携 失敗ログの異常検知 ゼロトラスト設計 侵入前提でアクセス制御 定期的なパスワード監査 弱いPWの使用者を特定 セキュリティ教育 PW管理ツール活用推進 ※ 多要素認証(MFA)の導入が最も費用対効果の高い対策

発注・選定担当者が押さえるべきポイント

チェック項目確認内容優先度
MFA(多要素認証)の導入状況全社員・全サービスで有効か🔴 最優先
パスワードポリシー12文字以上・禁止リストあるか🔴 最優先
ログイン失敗ログの監視分散試行でも異常を検知できるか🟠 高
パスワードレス認証の検討FIDO2生体認証への移行計画🟡 中期
定期的なパスワード監査弱いパスワードを使っている社員の特定🟡 中期

関連する規格・RFC

規格・RFC番号内容
RFC 8949CBOR(Concise Binary Object Representation)— FIDO2認証トークン等で利用
RFC 4086セキュリティのためのランダム性ガイドライン(パスワード生成の基礎)
RFC 8628OAuth 2.0 デバイス認可フロー(スプレー攻撃に強い認証フローの一形態)

関連用語

  • 多要素認証(MFA) — パスワードだけに頼らない認証方式。スプレー攻撃の最も有効な対策
  • ブルートフォース攻撃 — 1アカウントにパスワードを総当たりで試す攻撃手法
  • クレデンシャルスタッフィング — 他サービスで漏洩したID/パスワードをそのまま使い回す攻撃
  • アカウントロックアウト — 一定回数のログイン失敗でアカウントをロックするセキュリティ機能
  • ゼロトラスト — 「侵入されることを前提」に設計するセキュリティモデル
  • FIDO2 — パスワードレス認証の国際標準規格。スプレー攻撃を根本的に無効化する
  • 辞書攻撃 — 辞書に載っている単語をパスワード候補として試す攻撃手法
  • SIEM — ログを横断的に収集・分析してセキュリティ脅威を検知するシステム