パスワードスプレーとは?
パスワードスプレーとは、多数のアカウントに対して「Password123」「Company2024」などのよくあるパスワードを順番に試していく攻撃手法です。お金・アカウントを守る上で注意すべき脅威の一つで、総当たり攻撃(ブルートフォース)とは逆のアプローチを取ります。一つのアカウントに多数のパスワードを試すのではなく、多数のアカウントに少数のパスワードを「スプレー(散布)」するように試すことで、アカウントロック機能を回避します。企業名や季節を含むパスワード、連続した数字など、多くの人が使いがちなパスワードを狙い撃ちにし、数千のアカウントから数個でも突破できれば攻撃は成功となります。
パスワードスプレーを簡単に言うと?
マンションの合鍵探しに例えると、一つのドアに対して鍵を総当たりで試すと、3回失敗したら警報が鳴ります(アカウントロック)。そこで攻撃者は発想を変えて、「123456」という簡単な鍵を持って、マンション中の全部屋のドアを試していきます。100部屋あれば、1部屋くらいはこの簡単な鍵を使っている人がいるだろう、という考え方です。次の日は「password」という鍵で全部屋を回り、その次は「会社名2024」という鍵で回ります。各部屋では1回しか試さないので、警報は鳴りません。まるで、農薬を畑全体に薄く撒く(スプレー)ように、弱いパスワードを広範囲にばら撒いて、どこかに引っかかることを狙う。「下手な鉄砲も数撃ちゃ当たる」を地で行く、単純だけど効果的な攻撃なのです。
パスワードスプレーで発生する被害は?
パスワードスプレーにより、企業アカウントの大量乗っ取り、機密情報へのアクセス、なりすましによる詐欺などが発生します。お金・アカウントを守ることに失敗すると、一度の攻撃で複数の従業員アカウントが侵害され、そこから内部ネットワークへの侵入、顧客データの窃取、金融システムへの不正アクセスへと被害が拡大します。特に、リモートワークの普及により、VPNやクラウドサービスのアカウントが狙われやすくなっています。
パスワードスプレーで発生する直接的被害
- 企業メールアカウントの大量侵害
数十から数百の従業員メールアカウントが乗っ取られ、機密情報、顧客リスト、契約書などが盗み出される
- VPN経由での内部ネットワーク侵入
弱いパスワードのVPNアカウントを突破され、企業の内部システムに自由にアクセスされ、データベースやファイルサーバーが危険にさらされる
- クラウドサービスへの不正アクセス
Microsoft 365、Google Workspace、AWSなどのアカウントが侵害され、クラウド上の全データが盗まれたり、削除されたりする
パスワードスプレーで発生する間接的被害
- ビジネスメール詐欺(BEC)への発展
乗っ取ったアカウントから取引先に偽の請求書を送り、多額の送金詐欺を実行され、取引先との信頼関係が崩壊する
- パスワードリスト攻撃(クレデンシャルスタッフィング)
パスワードスプレーで得たアカウント情報は、他のサービスへのパスワードリスト攻撃に使用されます。また、過去の漏洩データから「よく使われるパスワード」を学習し、パスワードスプレーの精度を高めます。
- アカウント乗っ取り(ATO)
パスワードスプレーの最終目的はアカウント乗っ取りです。特に、企業の従業員アカウントを大量に乗っ取ることで、組織全体への攻撃の足がかりとします。パスワードスプレーは、大規模ATOを実現する効率的な手法です。
パスワードスプレーのよくある質問
各アカウントに対して1-2回しか試行せず、次のパスワードを試すまでに時間を空けるため、一般的な「3回失敗でロック」という設定には引っかかりません。
「Password123」「会社名2024」「Spring2024」「Welcome123」など、企業名、季節、年号を含む予測しやすいパスワードが狙われます。また、キーボードの配列(qwerty、123456)も危険です。
主に企業アカウントが標的ですが、個人のクラウドサービスやSNSアカウントも狙われます。特に、仕事用と個人用で同じパスワードを使っている場合は危険です。
MFAは非常に有効ですが、SMSベースの認証はSIMスワップで回避される可能性があります。認証アプリやハードウェアトークンの方がより安全です。
短時間に多数のアカウントへのログイン試行、同一IPからの複数アカウントへのアクセス、通常と異なる時間帯のログイン試行などのパターンを監視します。
非常に有効です。パスワードマネージャーは各サービスで異なる強固なパスワードを生成・管理できるため、パスワードスプレーの標的になりにくくなります。
更新履歴
- 初稿公開
