パスワードスプレーとは?ゆるーくわかりやすく解説
パスワードスプレーとは・・・
- よく使われる簡単なパスワードを、多数のアカウントに対して試す攻撃手法です
- アカウントごとの試行回数が少ないため、ロックアウト回避が狙われます
- 「123456」や「password」などのパスワードで複数アカウントに不正ログインされる危険があります
パスワードスプレーとは、よく使われる簡単なパスワードを多数のアカウントに対して試すサイバー攻撃です。本記事ではその仕組みや目的、総当たり攻撃との違い、被害を防ぐための対策まで詳しく解説します。
1. パスワードスプレーとは?
パスワードスプレーとは、攻撃者が「123456」や「password」といった誰でも思いつくようなパスワードを、たくさんのアカウントに対して試すサイバー攻撃手法のことです。
一度に大量のアカウントを対象にするため、組織や企業の情報システムが狙われやすく、「パスワードが簡単すぎる人」を見つけることが目的です。
1.1. 英語から推測すると
- Password:パスワード(合言葉、認証に使う文字列)
- Spraying:スプレーする、噴霧する、まき散らすという意味
英単語「spray」から連想されるのは、霧状に広くまくとか、少量を広範囲に拡散するといったイメージです。
それを「パスワード」と組み合わせると、
1つか少数のパスワードを、広い範囲(多くのアカウント)にまき散らすように試す
というイメージになります。
2. 総当たり攻撃との違い
パスワードスプレーと似た言葉に「総当たり攻撃(ブルートフォース攻撃)」がありますが、以下のような違いがあります。
| 項目 | パスワードスプレー | 総当たり攻撃 |
|---|---|---|
| 対象 | 多数のアカウント | 単一アカウント |
| 試すパスワードの数 | 少数(例:3〜10個) | 数千〜数百万 |
| アカウントロックのリスク | 低い(分散される) | 高い(集中する) |
3. パスワードスプレーの目的と手口
パスワードスプレーの攻撃は次のような目的で行われます。
- 簡単なパスワードを使っているアカウントに不正ログインする
- セキュリティ対策が甘いシステムに侵入する
- 内部システムから情報を盗む、またはウイルスをばらまく
3.1. 手口の流れ(例):
- 攻撃者が企業のメールアドレス一覧を入手
- 「123456」「welcome」「qwerty」など、ありきたりなパスワードを選定
- 各アカウントに対してこれらのパスワードを試す
- 成功したアカウントにログインし、情報を取得・拡散する
4. 実際の攻撃例(イメージ)
ある企業で、従業員のアカウントに「password123」を使っていた人がいたとします。
攻撃者は企業の社員全員のメールアドレスを入手していて、「password123」で全員のログインを試した結果、その人のアカウントに簡単にログイン成功。
その後、内部文書が流出する事態に……。
5. パスワードスプレーへの主な対策
5.1. 多要素認証(MFA)の導入
パスワードに加えてスマートフォンや認証アプリを使うことで、仮にパスワードが漏れてもログインを防げます。
5.2. パスワードの強化
「123456」や「password」などのありがちなパスワードは絶対に使わないようにしましょう。
5.3. ログの監視と異常検知
同じIPから多数のログイン試行があった場合など、不審なアクセスを検知する仕組みを取り入れましょう。
5.4. ログイン試行制限
連続してログインに失敗した場合、一時的にアカウントをロックするなどの措置を設定します。
