アカウントロックアウト
アカウントロックアウト とは何ですか?
アカウントロックアウト連続失敗回数が設定された閾値を超えた場合に、ログイン試行を一時的または恒久的にブロックし、オンラインでのパスワード推測攻撃を遅延させる制御。
アカウントロックアウトは、認証失敗が一定数を超えた時点でアカウントを無効化し、オンラインのブルートフォースやパスワードスプレー攻撃のコストを上げます。Active Directory、Entra ID、Okta などの多くの認証プラットフォームは、最大試行回数、観測ウィンドウ、ロックアウト期間という 3 つのパラメータを提供します(例:10 分間に 10 回失敗で 30 分ロック)。
ロックアウトは諸刃の剣です。NIST SP 800-63B は、過度なロックよりもレート制限とインテリジェントなスロットリングを明確に推奨しています。有効なユーザー名を知る攻撃者が意図的にロックアウトを発生させてサービス拒否を引き起こし、給与システム、メール、VPN から本物のユーザーを締め出せるためです。また過度な閾値は攻撃者を パスワードスプレー へと向かわせます。よくあるパスワード 1 つを数千のアカウントに試す方法はアカウントごとのカウンタを下回り続けます。これはまさに、Office 365 テナントを狙った 2020 年の APT グループによるとされる攻撃がロックアウトを回避した手口です。
そのため最新の実装はより賢い制御を好みます。試行間の段階的(指数的)遅延、送信元 IP と ASN のスロットリング、数回の失敗後の CAPTCHA、そしてリスクシグナルです。Microsoft Smart Lockout は、よく使う場所やデバイスのテレメトリを用いて正規ユーザーと攻撃者を区別し、悪意のある送信元のみをロックして本物のログインを維持します。さらに直近の誤ったパスワードのハッシュを記録し、同一の誤りの繰り返しが予算を消費しないようにします。最も強力な緩和策は、唯一の秘密としてのパスワードそのものを取り除くことです。フィッシング耐性のある MFA や passkey により、オンラインでの推測は無意味になります。
flowchart TD
A[ログイン試行] --> B{資格情報は有効?}
B -->|はい| C[アクセス許可 · カウンタをリセット]
B -->|いいえ| D[失敗カウンタを加算]
D --> E{カウンタ >= 閾値<br/>ウィンドウ内?}
E -->|いいえ| F[段階的遅延を追加 · CAPTCHA] --> A
E -->|はい| G{スマートシグナル:<br/>既知のデバイス / 場所?}
G -->|はい 正規ユーザー| H[許可 · 軽いチャレンジ]
G -->|いいえ 攻撃元| I[ロックアウト期間中<br/>アカウントまたは送信元をロック]
I --> J[アラート / リスクエンジン]● 例
- 01
Microsoft Entra ID Smart Lockout が 10 回の失敗で攻撃者 IP のみを遮断し、別ネットワークの正規ユーザーはログインできる例。
- 02
5 回 PIN を間違えると 30 分間アクセスをロックするオンラインバンキング。
● よくある質問
アカウントロックアウト とは何ですか?
連続失敗回数が設定された閾値を超えた場合に、ログイン試行を一時的または恒久的にブロックし、オンラインでのパスワード推測攻撃を遅延させる制御。 サイバーセキュリティの ID とアクセス カテゴリに属します。
アカウントロックアウト とはどういう意味ですか?
連続失敗回数が設定された閾値を超えた場合に、ログイン試行を一時的または恒久的にブロックし、オンラインでのパスワード推測攻撃を遅延させる制御。
アカウントロックアウト からどのように防御しますか?
アカウントロックアウト に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
アカウントロックアウト の別名は何ですか?
一般的な別名: ロックアウトポリシー, ログインロック。