パスワードスプレーとは

この記事は約 2 分で読めます

パスワードスプレー攻撃とは、「123456」「Password1」などの よく使われるパスワードを、多数のアカウントに対して少数ずつ試行する攻撃手法です。 1 つのアカウントに対する試行回数を抑えることで アカウントロックアウトを回避し、検知を困難にする点が特徴です。 Microsoft 365 や Azure AD (現 Entra ID) への攻撃で頻繁に観測されており、 2024 年には国家支援型の攻撃グループによるパスワードスプレーが 複数の大手テクノロジー企業で確認されています。

現場での使用例

「Azure AD のサインインログを分析したところ、 200 以上のアカウントに対して同一パスワード『Company2024!』での ログイン試行が検出されました。各アカウントへの試行は 1 回のみで ロックアウトは発生しておらず、パスワードスプレー攻撃と判断しています。」

攻撃パターン図

ブルートフォース攻撃との違い

ブルートフォース攻撃が 1 つのアカウントに対して大量のパスワードを試行するのに対し、 パスワードスプレーは 1 つのパスワードを多数のアカウントに試行します。 ブルートフォースはアカウントロックアウトで容易に検知・防御できますが、 パスワードスプレーは各アカウントへの試行が 1〜2 回のため、 ロックアウト閾値に達しません。クレデンシャルスタッフィングとも 異なり、漏洩したパスワードリストではなく、 統計的に多い共通パスワードを使用する点が特徴です。認証セキュリティの入門書 (Amazon)で体系的に学べます。

防御策

最も効果的な防御は、パスつく.com のようなツールで生成した ランダムで長いパスワードを使用し、共通パスワードリストに 載っているような単純なパスワードを排除することです。 組織レベルでは、多要素認証 (MFA) の 全社導入が決定的な対策になります。 Azure AD のスマートロックアウトや、 認証ログの異常パターン検知 (短時間に多数のアカウントで 同一パスワードの失敗が発生) も有効です。パスワードスプレー攻撃の詳細も あわせてご確認ください。アカウント保護の書籍 (Amazon)も参考になります。