パスワードスプレーとはパスワードスプレー攻撃を防ぐ方法
パスワードスプレー攻撃とは
パスワードスプレーは、総当たり攻撃の一種で、悪意のある攻撃者が、別のパスワードに移る前に、複数のアカウントで同じパスワードの使用を試みていきます。多くのユーザーが「password」や「123456」などのシンプルで推測しやすいパスワードを使用しているため、パスワードスプレー攻撃は往々にして効果的です。
多くの組織では、ユーザーはログイン試行に一定回数失敗するとロックアウトされます。パスワードスプレー攻撃では、複数のアカウントに対して1つのパスワードを試してみるため、1つのアカウントに対して多数のパスワードで総当たり攻撃する際に一般的に起こるアカウントのロックアウトを回避できます。
パスワードスプレーに特有の機能として(「スプレー」という単語が暗に示すように)、単に1つのアカウントではなく、数千または数百万もの異なるユーザーを一度に標的にできます。このプロセスはたいてい自動化されており、検知を回避するために時間をかけて行われます。
パスワードスプレー攻撃は多くの場合、特定の組織内のアプリケーションまたは管理者が新しいユーザーに対してデフォルトのパスワードを設定している場合に行われます。シングルサインオンやクラウドベースのプラットフォームも、特にぜい弱であることが実証されています。
パスワードスプレーはその他の種類のサイバー攻撃に比べて単純過ぎるように見えるかもしれませんが、巧妙なサイバー犯罪グループでさえこれを使用しています。たとえば、2022年、米国のCybersecurity & Infrastructure Security Agency(CISA)が、国家が支援するサイバー攻撃者に関する警告を発し、これらの攻撃者が標的のネットワークにアクセスするために使用しているさまざまな戦術をリストアップしましたが、パスワードスプレーもこれに含まれていました。
パスワードスプレー攻撃の仕組み
パスワードスプレー攻撃には通常、次の段階があります。
ステップ1:サイバー犯罪者がユーザー名のリストを購入するか、独自のリストを作成する
パスワードスプレー攻撃を開始するために、サイバー犯罪者は多くの場合、ユーザー名のリスト(さまざまな組織から盗まれたリスト)を購入することから開始します。ダークウェブでは150億個以上の資格情報が販売されていると推定されています。
また、サイバー犯罪者は、企業のメールアドレスに採用されている形式(firstname.lastname@companyname.comなど)に従い、LinkedInやその他の公共の情報源から取得した従業員のリストを使用して、独自のリストを作成する場合があります。
サイバー犯罪者は時として、特定の従業員のグループ(財務担当者、管理職、または経営幹部)を標的とします。なぜなら、標的を絞ったアプローチの方がより良い結果が得られる可能性があるからです。サイバー犯罪者はしばしば、シングルサインオン(SSO)またはフェデレーション認証プロトコル(Googleの資格情報を使用してFacebookにログインできる機能など)を使用している企業または部門、または多要素認証を実装していない企業または部門を標的とします。
ステップ2:サイバー犯罪者が一般的なパスワードのリストを取得する
パスワードスプレー攻撃には、一般的なパスワードまたはデフォルトのパスワードのリストが組み込まれています。最も一般的なパスワードが何であるかを見つけることは比較的簡単明瞭です。さまざまなレポートや調査によってこれらが毎年公開されており、Wikipediaには最も一般的な10,000 個のパスワードを掲載したページさえあります。サイバー犯罪者は、独自の調査を行ってパスワードを推測することもできます。たとえば、スポーツチームの名前や標的の組織の地域にある有名なランドマークを使用します。
ステップ3:サイバー犯罪者がさまざまなユーザー名/パスワードの組み合わせを試す
サイバー犯罪者がユーザー名とパスワードのリストを入手したら、その次は、有効な組み合わせを見つけるまでこれらを試してみることです。多くの場合、このプロセスはパスワードスプレーツールを使用して自動化されています。サイバー犯罪者は、多数のユーザー名に対して1つのパスワードを使用してから、リスト上の次のパスワードを使用してこのプロセスを繰り返すことで、ログイン試行を制限するロックアウトポリシーまたはIP アドレスブロッカーに触れないようにします。
パスワードスプレー攻撃の影響
攻撃者がパスワードスプレー攻撃を介してアカウントにアクセスしたら、攻撃者は、盗むのに十分値する情報、または組織のセキュリティ対策をさらに弱体化させてより機密性の高いデータにアクセスするための十分な権限がアカウントに含まれていることを期待します。
パスワードスプレー攻撃が成功すると、組織にとって重大な被害が生じる可能性があります。たとえば、攻撃者は一見正当に見える資格情報を使用して、財務アカウントにアクセスして不正な購入を行うことができます。これが検知されない場合、影響を受ける企業にとって経済的負担となる可能性があります。サイバー攻撃からの復旧には、最大数か月以上かかる場合もあります。
組織の財政に影響を及ぼすだけでなく、パスワードスプレーによって日々の業務が大幅に減速または混乱する可能性があります。企業全体にわたる悪意のあるメールにより、生産性が低下する場合があります。攻撃者によるビジネスアカウントの乗っ取りにより、個人情報の盗難、購入のキャンセル、サービスの納期の変更などにつながる場合があります。
そして、評判の低下も起こります。企業の情報がこのような方法で漏えいすると、顧客は自社のデータがその企業では安全であると確信しなくなる可能性があります。顧客は別の企業と取引する可能性があり、これによって被害がさらに広がります。
パスワードスプレーの例
「私は利用している銀行がパスワードスプレー攻撃の標的になったときに、パスワードを変更するよう求められました。悪意のある攻撃者は、銀行の顧客に対して数百万のユーザー名とパスワードを試してみることができ、不幸にも、私はそのうちの1人でした。」
パスワードスプレーと総当たり攻撃
パスワードスプレー攻撃では、一般的に使用されているいくつかのパスワードを使用して大量のアカウントへのアクセスを試みます。対照的に、総当たり攻撃では、たいていは考えられるパスワードの大規模なリストを使用して、パスワードを推測することで単一のアカウントに不正にアクセスしようとします。
つまり、総当たり攻撃には、ユーザー名ごとに多くのパスワードが関わります。パスワードスプレーには、1つのパスワードに対する多数のユーザー名が関わります。これらは、認証攻撃を実行するための異なる方法です。
パスワードスプレー攻撃の徴候
パスワードスプレー攻撃では通常、複数のアカウントにわたって認証試行の失敗がひんぱんに起こります。組織は、有効なアカウントでのシステムとアプリケーションのログイン失敗の認証ログを確認することで、パスワードスプレー活動を検知できます。
全体的に見れば、パスワードスプレー攻撃の主な徴候は次のとおりです。
- 短期間における大量のログイン活動
- アクティブなユーザーによるログイン試行の失敗の急増
- 存在しないアカウントまたはアクティブでないアカウントからのログイン
パスワードスプレー攻撃を防御する方法
組織は、次の予防策に従うことで、パスワードスプレー攻撃から組織自身を保護できます。
強力なパスワードポリシーを導入する
強力なパスワードの使用を実践することで、ITチームはパスワードスプレー攻撃のリスクを最小限に抑えることができます。強力なパスワードを作成する方法については、こちらをご覧ください。
ログイン検知を設定する
ITチームは、短期間に単一のホストで行われる複数のアカウントに対するログイン試行の検知も導入する必要があります。このログイン試行は、パスワードスプレー攻撃の明確な徴候です。
強力なロックアウトポリシーを徹底する
ドメインレベルでロックアウトポリシーの適切なしきい値を設定すると、パスワードスプレーを防御できます。このしきい値は、攻撃者がロックアウト期間内に複数の認証試行を行うのを防止できるほど十分な低さにしながらも、正規のユーザーが単純なエラーが原因でアカウントからロックアウトされるほどの低さではないように、バランスを取ることが必要です。検証済のアカウントユーザーのロック解除とリセットの明確なプロセスも必要です。
ゼロトラストのアプローチを採用する
ゼロトラストのアプローチの要は、手元のタスクを完了するためにいつでも必要な情報にのみアクセスできる権限を提供することです。組織内にゼロトラストを導入すると、ネットワークセキュリティに大きく貢献できます。
非標準のユーザー名の命名規則を使用する
メール以外のすべてに対して、john.doeやjdoe(ユーザー名として最も一般的な方法)などの見え透いたユーザー名は使用しないようにしてください。アカウントでのシングルサインオン用として別個の非標準のログインを使用することは、攻撃者を回避する1つの方法です。
生体認証を使用する
英数字パスワードの潜在的な弱点を攻撃者が悪用することを防ぐために、一部の組織では生体認証ログインを義務付けています。ユーザー自身がいなければ、攻撃者はログインできません。
パターンを見つける
施行されているセキュリティ対策で疑わしいログインパターン(大量のアカウントが同時にログインしようとしているなど)を素早く特定できるよう徹底します。
パスワードマネージャーの使用が役に立つ場合がある
パスワードは、機密情報を攻撃者から保護することを目的としています。ただし、現在の平均的なユーザーはあまりに多くのパスワードを使用しており、特に各資格情報セットが一意であることが想定されているため、すべてを追跡することが難しい場合があります。
追跡しようと試みるあまり、一部のユーザーは見え透いたパスワードや推測しやすいパスワードを使用する過ちを犯したり、しばしば複数のアカウントにわたって同じパスワードを使用したりしています。これらはまさに、パスワードスプレー攻撃に対してぜい弱なパスワードです。
攻撃者の機能とツールは近年、大幅に進化しています。コンピューターがパスワードを推測する速度は現在、ますます上がっています。攻撃者は、自動化を使用して、パスワードデータベースまたはオンラインアカウントを攻撃しています。攻撃者は、成功率を上げるために特定の技術や戦略を習得しています。
個々のユーザーにとっては、カスペルスキー パスワードマネージャーなどのパスワードマネージャーを使用すると役に立ちます。パスワードマネージャーは、複雑さと長さを組み合わせて、解読が難しいパスワードを提供します。パスワードマネージャーはまた、さまざまなログイン資格情報を覚えなくてはならない負担を解消してくれるだけでなく、さまざまなサービスに対して同じパスワードが繰り返し使用されていないかどうかをチェックしてくれます。パスワードマネージャーは、個人が一意の資格情報を生成、管理、保存するための実用的なソリューションです。
関連製品
他の読み物
パスワードスプレーとはパスワードスプレー攻撃を防ぐ方法
Kaspersky
