パスワードを盗み出す犯罪者 道具は「スプレー缶」

パスワードはサイバー攻撃に弱い。とはいえ、パスワードを使うしか方法がないアプリケーションやサービスはまだまだ多い。パスワードを盗み出す「パスワードスプレー攻撃」の特徴をつかみ、安全にパスワードを使う方法を紹介する。

[畑陽一郎，キーマンズネット]

　パスワードはサイバー攻撃に弱い上に、ユーザーはパスワードを軽視している。パスワード関連のサービスを提供するNordPassによれば、最も使用頻度が高いパスワードはそのものズバリの「password」だ。2番目は「123456」、3番目は「123456789」だ。

パスワードをなめているユーザーを攻撃する方法

　NordPassのマチェイ・バルトウォミエイ・シコラ氏はこのような状況の中で、サイバー攻撃者がどのように暗躍しているのか、ユーザーがとり得る保護策は何なのかを紹介している。

　ユーザーが利用するパスワードが偏っているのであれば、それを利用した攻撃が有効だろう。最も効率の良い攻撃方法は「パスワードスプレー攻撃」だ。パスワードを「スプレーする」（吹き付ける）とはどのような意味だろうか。

　パスワードスプレー攻撃は総当たり攻撃（ブルートフォースアタック）と似ている。頻繁に使用される弱いパスワード（例えば123456など）を幾つか選び、攻撃対象群（ドメイン）を選んだ後、複数のアカウントに対して試す攻撃だ。

　パスワードスプレー攻撃は標的型攻撃ではなく、特定の個人をターゲットにしてはいない。選んだドメイン内のアカウントの中には、123456のような一般的で弱いパスワードを使っている可能性が高いという情報に基づく、ヒット・アンド・トライ型の侵害だ。

どのように機能するのか

　パスワードスプレー攻撃の実際を見てみよう。攻撃者は、「password123」や「guest」といったよく使われるパスワードを幾つか選び、それを「example.com」といったドメイン以下の多数のメールアカウントに対して組織的に試す。

　攻撃者はある個人のアカウントを侵害しようとして何度も試みるのではなく、一般的なパスワードを数百数千のメールアカウントで同時に試す。この方法のメリットはアカウントのロックアウトや発覚につながりにくいことだ。多くのシステムではパスワードを複数回間違えるとアカウントがロックされてしまうが、パスワードスプレー攻撃は1つのアカウントに対して多くても数回しか試さない。

　攻撃者が多数のユーザーの中からたった1つの認証情報を取得するだけで、機密データへの不正アクセスや、より悪質な行為にアカウントを使用できるため、パスワードスプレー攻撃は有効な手法だ。

　パスワードスプレー攻撃がどのぐらい危険なものになり得るのかは、標的となった組織が採用しているパスワードポリシーとサイバーセキュリティ次第だ。どちらかが欠けていると多数のアカウントが危険にさらされることもある。

総当たり攻撃とは何が違うのか

　パスワードスプレー攻撃は総当たり攻撃の一種だ。しかし、総当たり攻撃とパスワードスプレー攻撃には幾つかの違いがある。

　総当たり攻撃では、正しいパスワードが見つかるまで、ありとあらゆる文字や記号の組み合わせを全て試す。網羅的に調べるため、パスワードが複雑だったり長かったりすると、正解にたどり着くまで非常に長い時間がかかる。

　パスワードスプレー攻撃は、総当たり攻撃よりも、はるかに高速に実行できる。全ての数字や文字の組み合わせを試すのではなく、数種類の一般的なパスワードだけを使うためだ。

　パスワードスプレー攻撃は、サイバー犯罪者が幾つかのドアに対応する鍵を持っているようなもので、ブルートフォース攻撃は、全ての鍵を一つ一つ試して開けるようなものだ。

パスワードスプレー攻撃とクレデンシャルスタッフィング攻撃の違いは

　クレデンシャルスタッフィング攻撃は、サイバー攻撃者がアカウントやシステムに不正アクセスするためのテクニックだ。目的はパスワードスプレー攻撃と似ているがアプローチが異なる。

　クレデンシャルスタッフィング攻撃では過去に盗まれたり、流出したりしたユーザー名とパスワードの組み合わせ（クレデンシャル）を使う。狙いは複数のプラットフォームでクレデンシャルを再利用するユーザーだ。パスワードスプレー攻撃が脆弱（ぜいじゃく）なパスワードを狙っていることに対し、クレデンシャルスタッフィング攻撃は、パスワードを再利用するユーザーのずさんさにつけ込む。

パスワードスプレー攻撃と辞書攻撃の違い

　辞書攻撃はアカウントに不正アクセスする手法で、パスワードスプレー攻撃と共通点がある。サイバー犯罪者がどのようなパスワードを試すかという点が違うだけだ。

　パスワードスプレー攻撃の場合、攻撃者はアカウントやアプリケーション、システム、ネットワークに侵入するために、少数の一般的な弱いパスワードをだけ試す。辞書攻撃の場合、犯罪者は辞書に載っている単語を一つ一つテストする。パスワードに一般的な単語を使うユーザーがいるために成り立つ攻撃だ。実際、「$」や「&」といった記号や数字を含まないただの単語がパスワードに選ばれる傾向がある。

　辞書攻撃の成功率はそれほど高くないものの、総当たり攻撃よりは時間がかからないため、アカウントのセキュリティにとって重大な脅威になり得る。

どうやってパスワードスプレー攻撃を検知するのか

　パスワードスプレー攻撃を検知するには、通常、ある程度の努力が必要だ。ユーザーが個人的に確認する際には、適切なツールを使うことで多くの場合うまくいく。

　データ漏えいスキャナーのようなソリューションを使って、パスワードや電子メールアドレスが盗まれたり、ダークWebで公開されたりしていないかどうかを確認できる。プラットフォームの中には、リアルタイムでデータ漏えいを監視するシステムが組み込まれているものもあり、パスワードスプレー攻撃やその他のサイバー攻撃によって、データが流出したかどうかを確認できる場合がある。

　しかし、企業で取り組もうとするとより複雑になる。従業員の行動パターンを注意深く観察し、理解することが重要だ。多くの従業員を抱える会社であれば、異常なログイン試行やパスワード変更要求の特定、特定のアカウントに対するログイン試行失敗率のチェック、全てIPアドレスのレピュテーションを迅速に検証可能な侵入検知システム（IDS）などのセキュリティツールが必要になる。

　さらにレート制限（ユーザーがあらかじめ定められた時間内に実行できるログインリクエストの回数を制限する機能）やアカウントロックアウト（決められた回数のログイン試行が失敗した後、ユーザーアカウントへのアクセスを一時的に停止する機能）のような追加のセキュリティ対策が必要になるかもしれない。

パスワードスプレー攻撃を防ぐ方法

　パスワードスプレー攻撃を防ぐ方法は、単純なものから複雑なものまで幾つもある。まずはユーザーができることを紹介しよう。

・弱いパスワードの排除　パスワードスプレー攻撃が有効なのは、一般的で推測しやすいパスワードを使うユーザーがいるからだ。強力でユニークなパスワードを使い、簡単に分からないようにすればよい

・パスワード管理ソフトの導入　弱いパスワードを排除し、使い回しを避けることには副作用がある。パスワードを覚えきれなくなることだ。当然のことながら、パスワードをファイルに保存したり、ディスプレイに貼り付けたりしてはいけない。ユーザー本人だけがアクセスできる暗号化された場所にパスワードを保存して管理するには、パスワード管理ソフトが役立つ

・パスワードジェネレーターの利用　ユーザーは多数のアカウントを使っている。全てのアカウントに対して強力でユニークなパスワードを考えるのは、かなり大変な作業だ。信頼できるパスワードジェネレーターを使えば、強力で安全性が高いパスワードを自動作成してくれる。作成したパスワードはパスワード管理ソフトに覚えさせればよい

・パスキーを採用する　パスキーは新しいタイプのデジタル認証情報で、パスワードよりもはるかに安全だと考えられている。パスワードを入力しなくてもWebサイトやオンラインサービスにログインできるだけでなく、犯罪者が認証情報を傍受することも事実上不可能だ

・ソフトウェアの定期的なアップデート　パスワードスプレー攻撃に限らず、セキュリティパッチやアップデートを欠かさず、潜在的な脆弱性に対するデジタル防御を強化することが有効だ

企業ができる対策は何か

　企業全体としてパスワードスプレー攻撃からビジネスを守ろうとするなら次のような戦略が役立つ

・パスワード管理への投資　サイバーセキュリティにはコストがかかることを認識しなければならない。信頼できる企業が提供する費用対効果の高いオプションがあり、予算を圧迫することなく企業のリソースを保護できる

・強力なパスワードポリシーの採用　大文字や小文字、数字、特殊文字を組み合わせた複雑で長いパスワードを従業員に使用させるルールを定め、運用することで、パスワードのセキュリティを高められる

・従業員教育　強固なパスワードの習慣を実践し、潜在的なフィッシングの脅威を見抜くことの重要性を従業員に理解させ、脆弱性のリスクを下げる。従業員同士がメールやインスタントメッセンジャーでビジネスパスワードを送り合うような習慣が社内にないだろうか

・多要素認証（MFA）の導入　パスワードと併せた第二の認証手段をユーザーに要求することで、さらなる保護レイヤーを追加し、企業のサイバーセキュリティを向上させる。機密性の高い情報に対しては生体認証やセキュアトークンのような高度な認証方式を導入することで、組織のサイバーセキュリティを強化し、容易に漏えいするパスワードへの依存を排除すると同時に、合理的なユーザーエクスペリエンスを提供する

・IPホワイトリストとブラックリストの導入　信頼できるIPアドレスのみにアクセスを許可し、悪意のあるIPアドレスを排除することで、企業ネットワークを保護できる