パスワードスプレーとは?

パスワードスプレーとは?

パスワードスプレー(または、パスワードスプレー攻撃)とは、攻撃者が共通のパスワードを使用して、1 つのドメイン上の複数のアカウントにアクセスしようとすることです。123456 や password1 などのよくある脆弱なパスワードのリストを使用すれば、攻撃者は一度の攻撃で数百のアカウントにアクセスできる可能性があります。

サイバー犯罪者は一度に複数のアカウントにアクセスすることができ、企業や個人のアカウント、個人情報へのアクセスを許してしまいます。もしサイバー犯罪者があなたの企業の 3 分の 1 のアカウントに侵入しただけでも、以下のことにアクセスすることができるようになります:

  • 銀行情報
  • 従業員の個人情報
  • 口座/アカウント番号を含めた収入関連情報
  • 取扱に細心の注意を要する企業データ
  • 製品情報
  • 取引上の機密
  • その他ログイン認証情報

パスワードスプレー攻撃対クレデンシャルスタッフィング攻撃

もう一つの一般的な攻撃として、クレデンシャルスタッフィングがあります。クレデンシャルスタッフィングでは、一般的なパスワードを循環させるのではなく、一部の人がさまざまなアカウントに同じログイン情報を使用し、別のシステムのログインポータルに「詰め込まれている(stuffed)」可能性があることを利用します。これらのパスワードは、完全に検証されたクレデンシャル(通常はユーザー名+パスワード)であり、別のシステムのデータ漏洩で明らかにされることがよくあります。

クレデンシャルスタッフィングとは異なり、パスワードスプレー攻撃は通常、スプレーツールキット(ソフトウェアツールの集合体または単一のプログラム)を使用し、ディレクトリまたはオープンソースからユーザー名を収集することによって実行されます。ツールキットは、いくつかのコマンドとともに使用され、ユーザー名を強奪した後、よくあるパスワードのリストをスプレーする(手当たり次第試す)ことで、アカウントへの侵入を試みます。

パスワードスプレー攻撃の検知方法

パスワードスプレー攻撃を早期に検知することで、対応するための十分な時間を確保し、アカウントを保護することができます。その方法をご紹介します。

個人ユーザー向けパスワードスプレーの検知方法

MFA/2FA: 多要素認証でアカウントを保護することで、アカウントへのアクセスに別のクレデンシャルをリクエストしたり、新しいデバイスがそれらのアカウントにアクセスしようとしたときに通知を送ることができます。

ダークウェブモニタリング: ダークウェブモニタリングサービスを利用して、データを保護し、クレデンシャルが漏洩した場合に通知を受けることができます。 BreachWatch® は、ダークウェブで漏洩したアカウントをモニタリングし、即座にアラートを発するので、オンラインアイデンティティを保護するための行動を取ることができます。

ビジネスユーザー向けパスワードスプレーの検知方法

ログイン画面の監視: 正しくないユーザー名が繰り返し入力されている状態は、一般的に攻撃されていることを示唆しています。IT チームが自社ログイン画面や窓口を監視する体制、ならびに正しくないユーザー名が繰り返し入力されている場合に IT チームへ通知する体制を構築してください。

アカウントロックアウト、認証試行、ログイン失敗の増加をモニタリング:パスワードスプレーは危険ですが、常に成功するわけではありません。ログイン失敗が発生したときに必ず通知されるようにしてください。失敗したログインのパターンをモニタリングします。1~2 回連続のログイン失敗は必ずしも警戒すべきことではありませんが、異なるアカウントからの複数のログイン失敗については、調査する価値があります。

パスワードスプレーを防ぐには

個人ユーザー向けパスワードスプレーの検知方法

多要素認証を使用する:前述したように、多要素認証は、アカウントへのログインに追加のクレデンシャルを必要とし、ログインが試みられる際に通知されます。2FA/MFA の要件を多様化することで、セキュリティの層を厚くすることができます。例えば、時間制限付きワンタイムパスワード(TOTP)だけを使用するのはやめましょう。特定のセンシティブなアカウントでは生体認証を使用してみてください。

一般的なパスワードは使用しない:最も一般的なパスワードには、password、love などの単語や、連番が含まれているものがあります。アカウントごとに独自で複雑なパスワードを作成し、パスワードを使い回さないようにしましょう。パスワードマネージャーは、より強力な独自のパスワードを生成し、それを安全に保管し、サードパーティの認証ソフトウェアと統合するのに役立ちます。

ビジネスユーザー向けパスワードスプレーの防止方法

ビジネスと従業員を保護するために、これらの対策を行いましょう:

  • 企業ポータルに MFA とセキュリティ質問を実装する
  • CAPTCHA を使用することで、ボットが盗んだ認証情報でアカウントにログインするのを防止する
  • チーム用の最新 VPN を使用して IP アドレスを秘匿し、ビジネス IP アドレスの範囲を限定することで攻撃者が攻撃しにくい状態にしてください。
  • すべてのアカウントにおいて独自で複雑なパスワードを作成することに重点を置いた、厳格なサイバーセキュリティポリシーを会社で制定しましょう。
  • 従業員を対象に、パスワードの使い回しの危険性、その他のサイバーセキュリティ上の脅威、より優れたパスワードの必要性について、全社的な教育を実施します。これには、より優れたパスワードの作成方法、脅威の認識、アカウントが侵害されたと思われる場合の対処方法などに関する情報を含めます。

常に保護された状態を保ちましょう

一般的なパスワードの誤用が多発しているため、パスワードスプレーの危険性が高まっています。インターネットユーザーの 65%以上が、複数の、あるいはすべてのアカウントにおいてパスワードを使い回しています。パスワードスプレーがこれほどまでに効果的なのは、たった数人が脆弱なパスワードを使用することで、企業全体が危険にさらされるからです。

close
close
日本語 (JP) お問い合わせ