パスワードスプレー攻撃とは?種類や手口・万全な対策を解説!
多くのWebサービスではログインするためにパスワードが必要ですよね。
そこで不正にログインしようと、複数のアカウントへ同じパスワードを同時に試す手口が「パスワードスプレー攻撃」です。
パスワードスプレー攻撃などによる不正アクセスを防ぐため、二重のパスワードシステム「二段階認証」が増えています。
一見安心なパスワードシステムに思えますが、この二段階認証が簡単に破られる事例が増えているのはご存じですか?
企業において情報の流出は、損害賠償などの問題にもなりかねません。
トラブルを未然に防ぐためにも、パスワードスプレー攻撃の手口を知ることが需要です。
ここではパスワードスプレー攻撃の概要を説明し、効果的な対策をご紹介します。
1.パスワードスプレー攻撃とは?
パスワードスプレー攻撃とは同じパスワードを複数のユーザーアカウントログインで同時に試すことです。
ログインの際に一定の回数パスワードを間違えると、アカウントロックがかかる場合がありますよね?
パスワードスプレー攻撃の場合、ロックがかかっても解除されるまで他のアカウントでログインを試せばいいため、あまり意味がありません。
また一度に複数のユーザーへログインが試せるので、犯人にとっては効率がいい方法です。
そもそも犯人が入力するパスワードは、どこから情報を得るのでしょうか?
それは主に「フィッシングメール」と「ダークウェブ」です。
フィッシングメール
企業を装いメールを送りつけて相手の個人情報を盗もうとする手法
ダークウェブ
個人情報や薬・武器など、本来販売できないものを売る場所
ダークウェブは悪意のある者が作成したブラウザでのみアクセスでき、通常のパソコンでは入れません。
1-1.パスワード攻撃の種類
総当たり攻撃などパスワードを悪用したサイバー犯罪の種類が多く、混乱するかもしれません。
パスワードを悪用した犯罪の種類と違いをご紹介します。
| 攻撃の種類 | 特徴 |
|---|---|
| パスワードスプレー攻撃 | ・複数人へ同時に攻撃 ・複数のIDに対し同じパスワードを試行 ・ログインできなかったら他のアカウントで試行 |
| ブルートフォース攻撃(総当たり攻撃) | ・一人ずつ攻撃 ・一つのIDに対し一つのパスワードを試行 ・ログインできるまでパスワードを変えて試行 |
| リバースブルートフォース攻撃 | ・一人ずつ攻撃 ・一つのパスワードに対し一つのIDを試行 ・パスワードは固定したまま、ログインできるまでIDを変えて試行 |
| パスワードリスト攻撃 | ・一人ずつ攻撃 ・複数のサイトに一つのIDとパスワードを試行 ・犯人がすでにログイン情報を入手した状態で、他のサイトでもログインを試行。パスワードの使い回しを突いた攻撃 |
1-2.被害に遭いやすい状況とは?
パスワードスプレー攻撃に遭いやすいのは以下の状況です。
- 「SSO(シングルサインオン)」など認証連携を使用
- 不具合のある他要素認証を使用
- 推測されやすいパスワードを使用
- 社内ネットワークとクラウド環境をつなげている
- ログを保管していない
「SSO」とは一箇所でログインが成功すると、他のサービスもそのまま使用できる認証方式です。
犯人は大量の情報が欲しいわけですから、SSOのように一度のログインで複数のサービスへ入り込めるのは都合が良いのです。
- 5つ目のログって何ですか?
- コンピュータの稼働やサーバーへのアクセスの状況を記録し、履歴を残すことを「ログ」と言います。
通常では仕事をしないはずの時間に社内サービスへアクセスがあれば「不正ログインかも!」と早期発見できます。
2.パスワードスプレー攻撃に遭った事例
パスワードスプレー攻撃の被害に遭った2つの事例を見ていきましょう。
2-1.パスワード攻撃の種類
社内ネットワークに不正アクセスがあり、社内の機密情報が漏洩しました。
管理体制を見直してみると社内ネットワークには多要素認証システムを設けておらず、パスワードの更新頻度も低めです。
さらに社内ネットワークへのアクセスログを保管していなかったため、原因の究明と被害の拡大を食い止めることができませんでした。
この会社は「自分の会社は小さいから狙われない」と思い込み、「被害に遭うかわからないサイバー犯罪のために対策など必要ない」と考えていました。
2-2.被害に遭いやすい状況とは?
テレワーク中の男性が仕事用のパソコンで使用する「Office365」に不正アクセスされ、顧客情報を盗まれました。
この男性が所属する会社の複数の社員が、ログインIDに自身の名前と誕生日の文字列を設定。
推測されやすいIDだったためパスワードスプレー攻撃を受け、不正アクセスされたようです。
仕事に関係するログインIDとパスワードは社員個人に決めさせるのではなく、できれば会社側がランダムな文字列を与えた方がいいでしょう。
Office365といえば一回のログインでワードやエクセルなど複数のサービスへアクセスできるので、犯人にとっても都合が良いサービスです。
3.パスワードスプレー攻撃に効果的な対策7選
パスワードスプレー攻撃に遭わないよう、7つの効果的な対策をご紹介します。
7つのパスワードスプレー攻撃対策
- 多要素認証を適切に設定
- 推測されないパスワードを設定
- パスワードを使いまわさない
- 使用しないアカウントの削除
- 画像認証を導入
- リスクベース認証を導入
- ログ管理
多要素認証とはパスワードなどの知識情報・ICカードなどの所持情報・指紋認証などの生体情報のうち、2つ以上の情報を組み合わせる認証です。
- 例えばIDとパスワードと指紋認証を組み合わせて、ログインする方法がありますよね?
- その通り!ログインにやや時間がかかりますが、セキュリティ効果はグッと上がります。
認証方法の一つに画像認証があります。
「画像に写った数字を入力」
といった認証方法を、一度は目にしたことがあるでしょう。
自動でパスワードを入力するロボットには、画像を認識する機能がありません。
そのためパスワードスプレー攻撃の対策として非常に効果があります。
3-1.被害に遭いやすい状況とは?
- ログって見たことないんですけど、どういう箇所を見てどう管理すれば良いのでしょう?
- ログはあまり馴染みがないかもしれませんね。まず最も大切なのは通常と異なる「サーバーへのアクセス時間」と「ID」を把握することです。
把握するには平常時のサーバーへのアクセスログを収集し確認。
平常時には見られなかったアクセスログがあれば警戒し、不正アクセスか否かを判断できます。
次におすすめのログの監視・管理製品をご紹介します。
4.パスワードスプレー攻撃に効果的なセキュリティ対策商品
パスワードスプレー攻撃に遭わないよう利用者が気をつけることも大事ですが、人間の力だけで対策するには限界があります。
そんなときは優秀なセキュリティ対策商品に頼るのが一番です。
パスワードスプレー攻撃に備え、導入をおすすめするセキュリティ対策商品を4種類ご紹介します。
4-1.「パスワードマネージャー」でパスワードを徹底管理・自動入力
パスワードを利用した犯罪の多くは、利用者によるパスワードの使い回しから起きています。
しかし管理すべきパスワードが多いとログインに手こずり、忘れた際の手続きも面倒です。
そこでおすすめなのがトレンドマイクロ社「パスワードマネージャー」です。
このソフトには以下の便利な機能がついています。
「パスワードマネージャー」の優れた機能
- ID / パスワードをクラウド上で管理しどの端末からでも確認可能
- 利用者の個人情報がダークウェブに流れていないか監視
- ダークウェブで見付かった場合は変更すべきログイン情報を通知
- 安全で強固なパスワードを自動で生成
- サイトにログインする際、自動入力設定で「パスワードマネージャー」がIDとパスワードを入力
ログイン画面になるたびログイン情報が自動で入力され、パスワードスプレー攻撃で突破されにくいパスワードを自動で生成してくれるので、パスワードの使い回しを防ぎます。
4-2.新種のウイルスを完全ブロック「ESET」
犯人にパスワードを知られる原因の一つがウイルスです。
フィッシング詐欺などで知らぬ間にウイルス感染し、情報が盗み取られるケースが増えています。
そのため強力なアンチウイルスソフトは必須と思ってください。
数あるアンチウイルスソフトでおすすめなのは「ESET」です。
「ESET」がおすすめな理由
- どこまで守って欲しいかを選べる3種類のパッケージ
- パソコンへの不正アクセスをしっかり防止
- 新発見のウイルスでも即座にブロック
- アカウントのログイン情報を一元管理し漏洩を防ぐ
動作が軽くサクサク動くので、アンチウイルスソフトに迷ったら「ESET」がおすすめですよ。
4-3.不正アクセスを見逃さない「LBアクセスログ2」
パスワードスプレー攻撃による不正アクセスを早期発見するには、ログ管理がカギです。
しかしログ管理をやったこともなければ意識したこともない場合、導入すべきソフトがわかりません。
そんなときは「LBアクセスログ2」がおすすめです。
画面の見やすさはもちろん、監視したいログだけにしぼって表示できますよ。
「JBアクセスログ2」の便利な機能
- PC上のすべての操作ログをしっかり記録
- ログファイルは任意の場所に保存可能
- ログファイルの改ざんを完全防止
- リアルタイムモニタ機能付き
- ログイン情報や個人情報を管理するPCを監視できる
4-4.あらゆるサイバー攻撃をブロック!「Cyber Box Pro」
世の中にはあらゆるサイバー犯罪や手口が横行しています。
しかしその都度異なるセキュリティ製品を導入しては時間とお金が足りません。
そこでパスワードスプレー攻撃を含むあらゆるサイバー攻撃の対策ができる製品が「Cyber Box Pro」です。
「Cyber Box Pro」の優れた機能
- 「ESET」がパッケージ内に入っている
- 「ESET」と「Cyber Box Pro」2つの機能がウイルスを検知
- IDS(不正侵入検知システム)機能付き
- 外部からの遠隔操作をブロック
- 社内ネットワークや社員専用サイトへの不正アクセスを監視
- 当製品1台だけで役員のPCおよび社員全員のセキュリティ管理が可能
- 複数の拠点の操作ログを一度に監視及び管理
5.まとめ
パスワードスプレー攻撃は同じパスワードで複数のアカウントへ、同時にログインを試みる手口です。
一つのアカウントに絞って試すわけではないため、不正アクセスだと検知されにくい特徴があります。
- パスワードスプレー攻撃から身を守るためには、多要素認証や画像認証の導入が効果的なんですよね?
- そうですね。必ずコンピュータにはできない認証も加えるのが効果的です。その他にもパスワードを頻繁に変更したりログをとっておくのも大切です。
- 侵入経路として考えられる全ての場所を監視し、かつ管理が簡単なセキュリティ対策商品を探している方は「Cyber Box Pro」
- 複数あるセキュリティ対策ソフトの中からどれを選べばいいのか迷ったら、どんな端末でもサクサク動く「ESET」
- ログ管理をしたことがなく、導入すべき製品に迷っているなら「LBアクセスログ2」
- 漏洩しにくいパスワードを自動で生成するなら「パスワードマネージャー」
を導入してみてください。
