攻撃と脅威
パスワードスプレー攻撃
別称: ロウ&スロー推測
定義
少数のよく使われるパスワードを多数のアカウントに対して低頻度で試し、ロックアウトやレート制限を回避する攻撃。
パスワードスプレー攻撃は、従来の総当たりと真逆のアプローチを取ります。1 アカウントに多数のパスワードを試すのではなく、同一パスワード(「Winter2025!」「P@ssw0rd」など)をディレクトリ全体に対して順に試し、終わったら次のパスワードへ移ります。これによりアカウント単位のロックアウトを回避でき、実組織には常に弱いパスワードが残るため一定の成功率が得られます。クラウド ID プロバイダ(Entra ID、Okta)や VPN ポータルへの攻撃に多用されます。対策は、一般的・漏えい済みパスワードの拒否、スマートロックアウトとリスクベース MFA、条件付きアクセス、地理/IP 分析、単一パスワードで多数のアカウントに試行する高ファンアウトのパターン検知です。
例
- APT が毎日決まった 1 時間だけ Entra ID テナント全体に「Spring2025!」を試す。
- ボットが企業 SSL VPN に対し、季節系パスワードを循環させて弱いユーザーを探す。
関連用語
総当たり攻撃
パスワード、PIN、鍵などの候補値を片端から試し、正しい値を割り出す攻撃。
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。
辞書攻撃
あらかじめ用意した一般語彙・漏えいパスワード・ルールに基づく派生形を候補とし、対象に試行する標的型パスワード推測攻撃。
認証の不備
認証やセッション管理の欠陥により、攻撃者が正規ユーザーになりすましたり、アカウントを乗っ取れたりする脆弱性カテゴリ。
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
Password
Password — definition coming soon.