パスワードスプレー攻撃とは?

パスワードスプレー攻撃とは、攻撃者が1つのサービスやアプリをターゲットにして、簡単なパスワードを使用して、複数のアカウントにアクセスしようとする攻撃です。123456やpassword1などのよく使われる弱いパスワードのリストを使い、攻撃者は1回の攻撃で何百、何千ものアカウントにログインしようと試みます。

サイバー犯罪者があなたのアカウントの1つにアクセスが成功すると、彼らは以下の情報にアクセスする可能性があります。

  • 銀行情報
  • クレジットカードアカウント
  • ネットショッピングサイト
  • SNSアカウント
  • その他多くの情報
パスワードスプレー攻撃とクレデンシャルスタッフ攻撃の違い

パスワードスプレー攻撃とクレデンシャルスタッフ攻撃の違い

パスワードスプレー攻撃とクレデンシャルスタッフィング攻撃の主な違いは、パスワードスプレー攻撃は、1つのサービスやアプリをターゲットにして簡単なパスワードを使用して、複数のアカウントにアクセスしようとするものです。一方、クレデンシャルスタッフィング攻撃は、決まった認証情報のセット(ユーザー名とパスワード)を使用して、複数のサービスやアプリなどの、異なるアカウントにアクセスしようとすることです。

クレデンシャルスタッフィングは、多くの人々が同じパスワードを複数のアカウントでパスワードを使い回している事実に依存しています。企業などでデータ侵害が起きて流出した、ユーザー名とパスワードを攻撃者は利用します。

パスワードスプレー攻撃は、特定のプログラムである、スプレーツールキットを使用して行われます。この攻撃では、まずインターネット上のオープンソースなどの情報源からユーザー名が集められます。次に、このツールキットは収集したユーザー名と一緒にコマンドを使用し、一般的なパスワードのリストを試みて、それらのアカウントに不正アクセスしようとします。

パスワードスプレー攻撃を検出する方法

ここでは、パスワードスプレー攻撃を受けている兆候を見分ける方法を、個人と企業で、それぞれ紹介します。

個人がパスワードスプレー攻撃を発見する方法

1. 多要素認証(MFA)の使用

アカウントのセキュリティを強化するためには、多要素認証(MFA)の使用とダークウェブモニタリングサービスの利用が有効です。MFAは、通常のユーザー名とパスワードだけでなく、追加の認証ステップを導入することでアカウントを保護します。例えば、新しいデバイスからアカウントにアクセスしようとすると、あなたに通知が届き、別の認証形式を求められます。このようにして、もし誰かがあなたのパスワードを知っていても、アカウントにログインするのが難しくなります。また、MFAのおかげで、パスワードスプレー攻撃などの不正アクセスなどの試みを検出しやすくなります。

2. ダークウェブモニタリングサービスの利用

一方で、ダークウェブモニタリングサービスを使用することで、もし自分のアカウント情報が漏洩した場合に迅速に対処できます。例えば、BreachWatch®のようなツールは、ダークウェブ上で公開され、漏洩しているアカウント情報を常に監視し、もしあなたの情報が漏れていればすぐにメールで警告を受け取ることができます。
この警告通知を受け取った場合、すぐにパスワードを変更することで、オンラインでの個人情報やデータを守ることが可能になります。

個人がパスワードスプレー攻撃を発見する方法
企業がパスワードスプレー攻撃を発見する方法

企業がパスワードスプレー攻撃を発見する方法

1. ログイン過程を監視する

企業がセキュリティを強化するためには、ログイン過程に注意を払うことが重要です。ITチームは、会社のログイン活動を監視し、異常な位置情報からの接続、特に不正なユーザー名の連続した入力があった場合、すぐに警告を受け取れるように設定することが大切です。
このようなパターンは、しばしば攻撃の前兆となるため、早期に対策することが重要です。

2. ログイン試行回数、失敗回数の監視

また、アカウントのロックアウトや認証試行の回数、ログインの失敗回数なども注意深く監視することが大切です。パスワードスプレー攻撃は常に成功するわけではないので、これらの特徴に引っかかる場合は、攻撃の試みを早期に察知することができます。
例えば、1回や2回のログイン失敗に関しては問題ありませんが、異なるアカウントからの連続したログイン失敗回数が見られる場合は、詳細な調査を行うべきです。
こうした監視を通じて、不正アクセスのリスクを減らし、企業のセキュリティを強化することができます。

パスワードスプレー攻撃を防ぐ対策方法

個人ができるパスワードスプレーを防ぐ対策方法

1. 多要素認証(MFA)の使用

多要素認証(MFA)の使用は、アカウントのセキュリティを強化する上で非常に有効な対策です。MFAはログイン過程に追加の認証段階を導入し、アカウントへのログインの試みがある度にユーザーに通知を送ります。さらにセキュリティを強化するためには、認証方法を多様化することも効果的です。

例えば、単に制限時間ベースのワンタイムパスワード(TOTP)を使用するだけでなく、重要なアカウントでは顔認証や指紋認証などの生体認証のような認証方法を取り入れることがおすすめです。このように、異なるタイプの認証方法を組み合わせることで、不正アクセスのリスクを大幅に減らし、オンラインアカウントの安全性を一層向上させることができます。

2. 英単語の単純なパスワードの使用を避ける

最も一般的な英単語などの単純なパスワードの使用は避けましょう。
例えば、password、admin、11111などの連続する数字や単語も簡単に推測されてしまいます。各アカウントに複雑で強力なパスワードを作成し、パスワードの使い回しも避けましょう。
パスワードマネージャーを使うと簡単に、これらの最善策に従った複雑で強力なパスワードを生成し、安全なストレージに保管し、全部のパスワードを覚える必要がなくなります。

企業ができるパスワードスプレーを防ぐ対策方法

1. ビジネス用パスワードマネージャーの導入

ビジネス向けのパスワードマネージャーは、IT管理者によるパスワードポリシーの遵守をサポートするための重要なパスワード管理ツールです。パスワードマネージャーは、従業員が常に強力なパスワードを使用することを監視したり、多要素認証(MFA)の使用をIT管理者が促進するのにも役立ちます。また企業内でも安全にパスワードや大事な個人情報の共有を簡単にできます。それだけでなく、企業内で最小権限の原則に従って、必要な役職の人のみにログイン情報の追加・削除が簡単に出来るので、採用過程や退職過程も社内で安全に情報を管理するには欠かせません。

2. 従業員へのサイバーセキュリティ教育

パスワードスプレー攻撃だけでなく、その他のサイバーセキュリティの基本について、全従業員に会社全体で教育を実施することが効果的な対策になります。サイバー攻撃を仕掛けてくる犯人は、常に企業の脆弱な盲点を探っています。その弱点が、時には、働く従業員に仕掛けられることがあります。また、サイバー攻撃の方法は、年々進化しており常に巧妙な手口を仕掛けてきます。その為、常にサイバーセキュリティに関して車内で教育していくことが対策として大切です。

3. 会社のそれぞれのアカウントにログイン試行回数の制限を設ける

会社で使用するアカウントに対して、ログイン時にユーザーが試行出来るログイン回数を制限することは、パスワードスプレー攻撃の対策として有効です。例えば、3回のログイン失敗後に制限を設定すると、ユーザーは3回失敗した後、アカウントからロックアウトされます。その後、そのユーザーがアカウントに再度ログインするためには、システム管理者が彼らの本人確認を認証することで、本人だけのログインを確実にします。

まとめ:パスワードスプレー攻撃から身を守ろう

簡単で脆弱なパスワードが原因で、パスワードスプレー攻撃の被害は後をたちません。
Keeper®による2022年の米国パスワード実態調査では、回答者の56%が複数または全てのアカウントでパスワードの使い回しがされている事実を認めています。

Keeper®のような、パスワードマネージャーでパスワード管理を簡単に強化しませんか?
被害に遭う前に対策することがとても重要です。
この機会にKeeper®のパスワードマネージャーを試してみてはいかがでしょうか。

日本語 (JP) お問い合わせ