パスワードスプレー攻撃

Q: パスワードスプレー攻撃 とは何ですか?

少数のよく使われるパスワードを多数のアカウントに対して低頻度で試し、ロックアウトやレート制限を回避する攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

Q: パスワードスプレー攻撃 からどのように防御しますか?

パスワードスプレー攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Q: パスワードスプレー攻撃 の別名は何ですか?

一般的な別名: ロウ&スロー推測。

監修Florian AmetteCybersecurity entrepreneur & security researcher

パスワードスプレー攻撃とは何ですか?

パスワードスプレー攻撃少数のよく使われるパスワードを多数のアカウントに対して低頻度で試し、ロックアウトやレート制限を回避する攻撃。

パスワードスプレー攻撃は、従来の総当たりと真逆のアプローチを取ります。1 アカウントに多数のパスワードを試すのではなく、同一パスワード(「Winter2025!」「P@ssw0rd」など)をディレクトリ全体に対して順に試し、終わったら次のパスワードへ移ります。これによりアカウント単位のロックアウトを回避でき、実組織には常に弱いパスワードが残るため一定の成功率が得られます。クラウド ID プロバイダ(Entra ID、Okta)や VPN ポータルへの攻撃に多用されます。対策は、一般的・漏えい済みパスワードの拒否、スマートロックアウトとリスクベース MFA、条件付きアクセス、地理/IP 分析、単一パスワードで多数のアカウントに試行する高ファンアウトのパターン検知です。

● 例

01
APT が毎日決まった 1 時間だけ Entra ID テナント全体に「Spring2025!」を試す。
02
ボットが企業 SSL VPN に対し、季節系パスワードを循環させて弱いユーザーを探す。

● よくある質問

パスワードスプレー攻撃とは何ですか?

少数のよく使われるパスワードを多数のアカウントに対して低頻度で試し、ロックアウトやレート制限を回避する攻撃。サイバーセキュリティの攻撃と脅威カテゴリに属します。

パスワードスプレー攻撃とはどういう意味ですか?

少数のよく使われるパスワードを多数のアカウントに対して低頻度で試し、ロックアウトやレート制限を回避する攻撃。

パスワードスプレー攻撃からどのように防御しますか?

パスワードスプレー攻撃に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

パスワードスプレー攻撃の別名は何ですか?

一般的な別名: ロウ&スロー推測。

パスワードスプレー攻撃

パスワードスプレー攻撃とは何ですか?

● 例

● よくある質問

● 関連用語

● 関連項目

パスワードスプレー攻撃 とは何ですか?

● 例

● よくある質問

● 関連用語

● 関連項目

パスワードスプレー攻撃とは何ですか?