パスワードスプレー攻撃とは?
パスワードスプレー攻撃は、サイバー攻撃の一種で、少数の「よく使われるパスワード」を、多数のアカウント(ユーザーID)に対して順番に試していく不正ログインの手法です。 「スプレー」という言葉の通り、パスワードを広範囲に吹きかけるように攻撃することからこの名前がついています。
この攻撃の最大の特徴は、一般的な不正ログイン攻撃と異なり、アカウントロックを回避しやすい点にあります。 通常、サービスには「パスワードを数回間違えると、そのアカウントが一時的に使えなくなる」というアカウントロック機能が備わっています。しかし、パスワードスプレー攻撃は一つのアカウントに対して何度も試行するのではなく、多くのアカウントに対して少しずつ試行するため、このロック機能に検知されにくいのです。 このようにゆっくりと時間をかけて攻撃が行われることから、「Low and Slow(低速でゆっくり)」攻撃と呼ばれることもあります。
パスワードスプレー攻撃の仕組み
攻撃者は以下のステップで攻撃を実行します。
- ユーザー名のリストを入手する: 攻撃対象となる企業の従業員リストや、過去に漏洩した情報などから、有効なユーザー名(メールアドレスなど)のリストを準備します。
- パスワードのリストを準備する: 「password」や「123456」、または「CompanyName2025」といった、多くの人が使いがちで推測されやすいパスワードのリストを作成します。
- 攻撃の実行: 準備したリストを使い、まず1つ目のパスワード(例:「password」)で、全てのユーザー名に対してログインを試みます。
- パスワードを変えて繰り返す: 1つ目のパスワードで成功しなかった場合、少し時間を置いてから、2つ目のパスワード(例:「123456」)で再び全てのユーザー名に対してログインを試みます。これを成功するまで繰り返します。
攻撃者はこのプロセスを自動化するツールを使用し、検知をさらに避けるために、試行の間隔を空けたり、異なるIPアドレスからアクセスしたりするなどの手口を巧妙化させています。
他の攻撃手法との違い
パスワードスプレー攻撃と混同されやすい攻撃手法に「ブルートフォース攻撃(総当たり攻撃)」や「リバースブルートフォース攻撃」があります。それぞれの違いを見てみましょう。
| 攻撃手法 | 概要 | アカウントロック |
|---|---|---|
| パスワードスプレー攻撃 | 多数のアカウントに対し、少数のパスワードを試す。 | 回避しやすい |
| ブルートフォース攻撃(総当たり攻撃) | 特定のアカウントに対し、考えられる全てのパスワードの組み合わせを試す。 | されやすい |
| リバースブルートフォース攻撃 | 少数のパスワードを固定し、多数のアカウントを試す。パスワードスプレー攻撃とほぼ同義で使われることが多い。 | 回避しやすい |
実際に発生した事例
パスワードスプレー攻撃は、国内外で多くの被害を引き起こしています。
- 大手企業におけるSaaSアカウントへの不正ログイン(2023年): 国内の大手企業が利用するSaaS(クラウドサービス)のアカウントに対し、パスワードスプレー攻撃による不正ログイン被害が発生しました。
- 地方自治体へのVPN経由の侵入(2022年): ある地方自治体で、外部から内部ネットワークに接続するためのVPN装置がパスワードスプレー攻撃を受け、不正アクセスされる事件がありました。
パスワードスプレー攻撃への対策
この攻撃から身を守るためには、利用者個人とサービスを提供する企業側の両方で対策を行うことが重要です。
ユーザー(利用者)側の対策
- 推測されにくい複雑なパスワードを設定する: 他の単語や数字、記号を組み合わせ、長くて複雑なパスワードを設定しましょう。 「password」や誕生日などの簡単な文字列は避けるべきです。
- パスワードを使いまわさない: 複数のサービスで同じパスワードを使用すると、一つが破られた場合に他のサービスにも不正ログインされる危険性が高まります。
- 多要素認証(MFA)を有効にする: パスワードに加えて、スマートフォンアプリやSMSで送られる確認コードなど、複数の認証要素を組み合わせることで、万が一パスワードが破られても不正ログインを防ぐことができます。
サービス提供者(管理者・企業)側の対策
- 多要素認証(MFA)の導入を必須にする: ユーザーに対して多要素認証の利用を推奨、または必須とすることが最も効果的な対策の一つです。
- 不審なログインの監視と検知: 短時間に同一のIPアドレスから複数のアカウントへのログイン失敗が続くなど、通常とは異なるアクセスパターンを検知し、管理者に通知する仕組みを導入します。
- 推測されやすいパスワードを禁止する: システム側で「123456」のような単純なパスワードや、過去に漏洩したパスワードリストに含まれるパスワードを設定できないように制限します。
- リスクベース認証の導入: 普段と異なる場所やデバイスからのアクセスがあった場合に、追加の本人確認を要求する仕組みです。これにより、攻撃者による不正ログインのハードルを上げることができます。
まとめ
パスワードスプレー攻撃は、アカウントロックという基本的なセキュリティ機能を巧みに回避する、静かで巧妙な攻撃です。しかし、その仕組みは単純であり、基本的な対策を徹底することで被害を防ぐことが可能です。
私たちユーザー一人ひとりが「複雑でユニークなパスワードを設定する」こと、そして「多要素認証を有効にする」ことを心がけるだけで、セキュリティは格段に向上します。この機会に、ご自身のパスワード管理を見直してみてはいかがでしょうか。