パスワードスプレー攻撃とブルートフォース攻撃の違いは何ですか？

ブルートフォースは 1 つのアカウントに大量のパスワードを試しますが、パスワードスプレーは逆に 1 つのよくあるパスワードを大量のアカウントに試します。アカウントロックの閾値を回避できるため、検知が難しい攻撃手法です。

パスワードスプレー攻撃の標的になりやすいサービスは？

Microsoft 365、VPN ゲートウェイ、リモートデスクトップなど、企業が広く利用するクラウドサービスが主な標的です。これらはインターネットに公開されたログイン画面を持ち、ユーザー名が推測しやすい (メールアドレス形式) ため狙われやすくなっています。

個人ユーザーがパスワードスプレー攻撃から身を守るには？

「123456」「password」「qwerty」などのよくあるパスワードを絶対に使わないことが最大の防御です。パスワード生成ツールでランダムな文字列を作成し、二要素認証を有効にすれば、パスワードスプレー攻撃はほぼ無効化できます。

パスワードスプレー攻撃とその対策

この記事は約 8 分で読めます

パスワードスプレー攻撃は、近年のサイバー攻撃のなかでも特に検知が難しく、多くの組織や個人が被害を受けている手法です。 Microsoft の 2024 年版 Digital Defense Report によると、パスワードスプレー攻撃は ID ベースの攻撃全体の約 40% を占めており、前年比で増加傾向にあります。 CISA (米国サイバーセキュリティ・インフラセキュリティ庁) も 2024 年にパスワードスプレー攻撃に関する注意喚起を発出しており、特にクラウドサービスのアカウントが標的になるケースが急増しています。 2025 年現在、攻撃者は AI を活用してターゲット組織の従業員情報を自動収集し、より精度の高いパスワードリストを生成する手法も確認されています。従来のブルートフォース攻撃とは異なるアプローチで認証を突破するため、一般的なセキュリティ対策では防ぎきれないケースがあります。本記事では、パスワードスプレー攻撃の仕組みを詳しく解説し、パスつく.com を活用した効果的な防御策を紹介します。

パスワードスプレー攻撃とは

パスワードスプレー攻撃とは、多数のアカウントに対して少数のよく使われるパスワードを順番に試行する攻撃手法です。たとえば「 password123 」というパスワードを 1 万件のアカウントに対して 1 回ずつ試し、次に「 123456 」を同じ 1 万件に試す、という流れで進行します。

この手法の巧妙な点は、 1 つのアカウントに対する試行回数が極めて少ないことです。多くのサービスでは、同一アカウントへの連続ログイン失敗でアカウントロックアウトが発動しますが、パスワードスプレー攻撃では各アカウントへの試行が 1-2 回に抑えられるため、ロックアウトの閾値に達しません。

ブルートフォース攻撃との違い

ブルートフォース攻撃は、 1 つのアカウントに対してあらゆるパスワードの組み合わせを総当たりで試す手法です。攻撃対象は少数のアカウントに集中し、短時間に大量のログイン試行が発生します。そのため、アカウントロックアウトやレート制限によって比較的容易に検知・防御できます。

一方、パスワードスプレー攻撃は「広く浅く」攻撃する点が根本的に異なります。攻撃者は数千から数百万のアカウントリストを入手し、それぞれに対してごく少数のパスワードだけを試します。個々のアカウントから見れば通常のログイン失敗と区別がつかず、セキュリティシステムの監視をすり抜けます。この「低頻度・広範囲」という特性が、 SIEM (セキュリティ情報イベント管理) や IDS (侵入検知システム) による検知を困難にしている根本的な理由です。単一アカウントの異常を検出するルールベースの監視では、攻撃全体のパターンを捉えられません。

パスワードスプレー攻撃の検知手法について、SIEM ログ分析と攻撃検知の関連書籍 (Amazon)も参考になります。

攻撃者が使うパスワードリスト

パスワードスプレー攻撃で使用されるパスワードは、過去のデータ漏洩事件から収集された「よく使われるパスワード」のリストに基づいています。セキュリティ研究者の調査によると、以下のようなパスワードが毎年上位にランクインしています。

「 123456 」「 password 」「 qwerty 」などの定番パスワード
「 Welcome1 」「 Password1 」など、大文字と数字を最低限含めただけのもの
「 Summer2024 」「 Spring2025 」など、季節と年を組み合わせたもの
「 Company123 」など、組織名と数字を組み合わせたもの
「 abc123 」「 letmein 」「 iloveyou 」などの頻出フレーズ

攻撃者はこれらのリストを常に更新しており、新たに漏洩したデータベースからトレンドを分析しています。人間が「覚えやすい」と感じるパスワードは、ほぼ確実にこのリストに含まれていると考えるべきです。よくある誤解として「自分だけの工夫を加えれば安全」と考えるケースがありますが、「 a 」を「@」に置き換える、末尾に「!」を付けるといった変換パターンは攻撃者のリストに網羅されています。

アカウントロックアウトを回避する手口

パスワードスプレー攻撃が効果的な理由の 1 つは、アカウントロックアウトの仕組みを巧みに回避する点にあります。攻撃者は以下のような手法を組み合わせます。

各アカウントへの試行を 1 回に限定し、ロックアウト閾値 (通常 3-5 回) に達しないようにする
試行の間隔を数時間から数日空け、レート制限を回避する
複数の IP アドレスから分散して攻撃し、 IP ベースのブロックを避ける
正規のログインフローを模倣し、ボット検知を回避する

これらの手法により、攻撃は数週間から数か月にわたって静かに進行します。被害者が気づいたときには、すでに複数のアカウントが侵害されているケースも珍しくありません。

注意すべきエッジケースとして、攻撃者がクラウドサービスのレガシー認証プロトコル (IMAP 、 POP3 、 SMTP Basic Auth など) を狙うケースがあります。これらのプロトコルは多要素認証 (MFA) をバイパスできるため、モダン認証のみを許可するポリシーを併せて設定することが重要です。組織全体のパスワード運用については企業のパスワードポリシー策定ガイドも参考にしてください。また、二段階認証の導入はパスワードスプレー攻撃に対する最も効果的な防御策の一つです。

レガシー認証の脆弱性とゼロトラスト認証設計については、ゼロトラスト認証とレガシープロトコル対策の関連書籍 (Amazon)も参考になります。

パスつく.com を使った防御策

パスワードスプレー攻撃に対する最も効果的な防御策は、攻撃者のパスワードリストに含まれないランダムなパスワードを使用することです。パスつく.com で生成したパスワードは、暗号学的に安全な乱数に基づいているため、よく使われるパスワードのリストに該当する可能性は事実上ゼロです。

推奨される設定

パスつく.com でパスワードスプレー攻撃に強いパスワードを生成するには、以下の設定を推奨します。

文字数: 16 文字以上に設定する
英大文字・英小文字・数字・記号の 4 種類すべてをオンにする
生成されたパスワードの強度メーターが 80 ビット以上であることを確認する

パスつく.com で生成したパスワードは完全にランダムな文字列であるため、「 password 」「 123456 」「 Welcome1 」といった攻撃者のリストとはまったく異なる構成になります。サービスごとに異なるパスワードを生成し、パスワードマネージャーで管理すれば、パスワードスプレー攻撃のリスクを大幅に低減できます。

既存パスワードの見直し

すでに利用中のサービスについても、パスワードの見直しを推奨します。特に、覚えやすさを優先して設定したパスワードや、複数のサービスで使い回しているパスワードは、パスワードスプレー攻撃の標的になりやすいため、パスつく.com で新しいランダムパスワードに置き換えましょう。優先的に変更すべきは、メールアカウント、金融サービス、業務で使用するサービスのパスワードです。メールアカウントを最優先にすべき理由は、メールが他のサービスのパスワードリセットに使われるため、メールが侵害されると連鎖的に他のアカウントも危険にさらされるからです。メールアカウントを守る重要性の記事も参考にしてください。

パスワードスプレー攻撃と他の攻撃手法の比較

パスワードスプレー攻撃を正しく理解するために、類似する攻撃手法との違いを整理します。

ブルートフォース攻撃: 1 アカウントに全パターンを試行。検知しやすいが、オフライン攻撃では依然として脅威
パスワードスプレー攻撃: 多数のアカウントに少数のパスワードを試行。検知が困難
クレデンシャルスタッフィング: 漏洩した認証情報をそのまま他サービスに試行。パスワードの使い回しが前提
辞書攻撃: 辞書の単語リストを使って 1 アカウントを攻撃。ブルートフォースの効率化版

これらの攻撃に共通する防御策は、パスつく.com のようなツールでランダムなパスワードを生成し、サービスごとに異なるパスワードを使用することです。

今すぐできること

パスつく.com で 16 文字以上のランダムなパスワードを生成し、メールアカウントと業務サービスのパスワードを置き換える
「 123456 」「 Password1 」「 Welcome1 」など、よく使われるパスワードを使用していないか全アカウントを確認する
利用中のクラウドサービスで多要素認証を有効にし、レガシー認証プロトコルを無効化する
Have I Been Pwned でメールアドレスの漏洩状況を確認し、漏洩が見つかったサービスのパスワードを即座に変更する

よくある質問

パスワードスプレー攻撃とブルートフォース攻撃の違いは何ですか？: ブルートフォースは 1 つのアカウントに大量のパスワードを試しますが、パスワードスプレーは逆に 1 つのよくあるパスワードを大量のアカウントに試します。アカウントロックの閾値を回避できるため、検知が難しい攻撃手法です。
パスワードスプレー攻撃の標的になりやすいサービスは？: Microsoft 365、VPN ゲートウェイ、リモートデスクトップなど、企業が広く利用するクラウドサービスが主な標的です。これらはインターネットに公開されたログイン画面を持ち、ユーザー名が推測しやすい (メールアドレス形式) ため狙われやすくなっています。
個人ユーザーがパスワードスプレー攻撃から身を守るには？: 「123456」「password」「qwerty」などのよくあるパスワードを絶対に使わないことが最大の防御です。パスワード生成ツールでランダムな文字列を作成し、二要素認証を有効にすれば、パスワードスプレー攻撃はほぼ無効化できます。

この記事は役に立ちましたか？

パスワードを生成する →