【セキュリティ】パスワードスプレー攻撃とは

IT用語解説

この記事はこんな人へ

・セキュリティエンジニアを目指したい方

・IPA試験合格を目指している方

パスワードスプレー攻撃とは

パスワードスプレー攻撃とは、複数のアカウントに対してよく使われるパスワードを利用し、ログインを試みる攻撃のことを言います。

企業を例に見てみましょう。

とある企業では「名字-名前@example.com」というルールでメールアドレスが作られているとします。

その企業の役員のフルネームをなんらかの方法(ここでは詳細は書けないです)で取得すると必然的にメールアドレスが分かります。

そのメールアドレスに対し、下記のようなよく使われるパスワードを試していくとログインできてしまうことがあります。

●よく使われるパスワード
・123456
・password
・123456789
・12345678
・qwerty
・12345
・123123
・111111
・1q2w3e4r
・admin

もしログインされてしまった場合、役員のアカウントは会社内でより強い権限を持っていることが多いため、会社の機密情報や顧客の個人情報などの情報を盗まれ、大事件になってしまいます。

パスワードスプレー攻撃への対応をしっかりととることによって情報を盗まれる可能性を下げることができます。

パスワードスプレー攻撃への対応方法

今記事では5つの対応方法をご紹介していきます。

多要素認証(MFA)の導入

多要素認証は以前のクレデンシャルスタッフィングの記事(link)にも対策として出てきたものですね。

多要素認証とは、パスワードだけではなく認証アプリやSMSなどを使用し、認証を行う機能のことです。

最近の会員制WEBサイトには基本的に実装されている機能ですね。

この機能を利用することでセキュリティが弱いパスワードを使っていたとしても、不正にログインされてしまう可能性は低くなります。

多要素認証が実装されているサービスは絶対に多要素認証を有効化しましょう。

パスワードポリシーの強化(推測されにくいパスワードを使用)

パスワードポリシーとは、システムやアプリケーションにおいてユーザーが設定するパスワードに対して定めるルールや基準のことです。

例えば、WEBサイトに登録するときに「パスワードは8文字以上の英数字で入力してください」と表示されているものを見たことがある人は多いでしょう。

これがパスワードポリシーですね。

パスワードポリシーにて「英大文字・英小文字・数字・記号を使用し、よく使われるパスワードやセキュリティが低いパスワード(誕生日)を使用できないようにする」といった形で設定するとセキュリティが低いパスワードが設定されることは少なくなります。

パスワードポリシーを設定できる人はサービスの提供者や企業のシステム担当だけであるため、ユーザが設定できるものではないですが、自身が使用するパスワードはこのルールを使うというセキュリティが強いポリシーを持つことが大切です。

アカウントへのログイン試行回数の制限

ログインの試行回数が制限されると複数のパスワードを試した場合にあらかじめ設定された回数でアカウントにロックがかかります。

アカウントにロックがかかると「管理者にアカウントロックを解いてもらうまで」や「10分間のような決まった時間が経過するまで」ログインできなくなります。

パスワードスプレー攻撃はBotを使用して短時間でいくつものパスワードでログインを思考しようとするため、アカウントのロックで「ログインの試行をできなくする」という対応が有効となります。

ログイン試行回数の制限も基本的にはパスワードポリシーと同様に、設定できる人はサービスの提供者や企業のシステム担当だけであるため、ユーザ側が対応することは難しいです。

ですが、iPhoneのように一定回数ロック解除が失敗したら端末のデータを削除するという行為が

不審なIPアドレスやログインパターンの検出・通知

例えば、日本国内に居住しているはずの人のアカウントが海外のIPアドレスからログインが施行されていたら「おかしい」となると思います。

また、よく使われるパスワードをいくつも使用しログインが施行されているなども「おかしい」となると思います。

このように普段とは違う環境やログイン方法検出し、管理者に通知することが「不審なIPアドレスやログインパターンの検出・通知」です。

サービス提供者や企業のIT担当者が不正なログインを検出したときにアカウントをロックするなどの機能が必要となります。

シングルサインオン(SSO)でのログ管理と制御

シングルサインオン(SSO)は、複数のサービスへの認証を一元化し、ユーザーが一度のログインで複数のシステムにアクセスできる仕組みです。

全サービスのログイン試行がシングルサインオン基盤に集約されるため、異常検知が容易かつ迅速になります。

シングルサインオンを実施することで多要素認証の設定やパスワードポリシーの設定も容易になるため、セキュリティ担当者の負担が減少します。

また、シングルサインオンを実施するとユーザが管理するパスワードの数が少なくなるため、パスワードを忘れる回数が少なくなり、無駄なところで生産性を下がることを防ぐことができます。

つまり、シングルサインオンを導入することで、ログイン監視と制御が集中・効率化されるため、パスワードスプレー攻撃に対する検知と対応の精度・速度が大幅に向上するのです。

まとめ

パスワードスプレー攻撃は、複数のアカウントに対してよく使われるパスワードを利用し、ログインを試みる攻撃です。

パスワードスプレー攻撃に対応するためには以下の対応策を取っていくことが必要となります!

【パスワードスプレー攻撃への対応策】
多要素認証(MFA)の導入
パスワードポリシーの強化(推測されにくいパスワードを使用)
アカウントへのログイン試行回数の制限
不審なIPアドレスやログインパターンの検出・通知
シングルサインオン(SSO)でのログ管理と制御

セキュリティについて学びたい方

その他、セキュリティについて学びたい方は以下のURLから確認してください!

セキュリティ

セキュリティ関連の記事一覧です。

engineer-n.com


SNS

X(Twitter)のフォローをお願いします。

質問募集中

下記、質問フォームにて募集しています。

質問フォーム

最後に

AI画像生成めっちゃ楽しい

おすすめ記事

バッチとパッチの違い【IT用語解説】
読書習慣作りたいならならKindle買うといいよ
基本情報取ったよ~【新試験対応】基本情報技術者試験対策~
【今更聞けないIT用語】スクリプトとは
システム障害起きたときの焦りってすごいよね
タイトルとURLをコピーしました