パスワードを狙う攻撃 危険なのはどのタイプ？

サイバー攻撃でパスワードを奪われてしまうと、ユーザーが持っている情報や権限がたやすく悪用されてしまう。パスワードを狙う攻撃は最も古い手法だが、現在でも危険性は高いままだ。複数の攻撃方法のうち、どのような攻撃が危険なのだろうか。

[Matt Kapko，Cybersecurity Dive]

　認証情報を狙うサイバー攻撃は危険だ。認証情報を攻撃者に奪われてしまうと、そのユーザーがアクセスできるサービスやサーバを攻撃者が利用できるようになってしまうからだ。

　認証情報の中でもパスワードはもっとも脆弱（ぜいじゃく）だ。ただの数桁の文字列であり、保護されていないことが多いからだ。

パスワードを狙う攻撃　危険なのは

　パスワードを狙う攻撃は複数に分かれる。どの攻撃が危険なのだろうか。

　サイバーセキュリティ事業を営むTrellixの研究センターは、2024年11月20日（現地時間、以下同）に報告書「THE CYBERTHREAT REPORT」を発表した。それによると2024年第2四半期から第3四半期にかけて、パスワードスプレー攻撃が北米と欧州の複数の業界で攻撃者に多大な成果をもたらした（注1）。

　Trellixの調査によると、パスワードスプレー攻撃の攻撃対象は広範囲にわたる。攻撃者は一般的に、「Microsoft Azure」「Google Cloud Platform」「Amazon Web Services」（AWS）などのクラウドサービスや「Microsoft 365」「Google Workspace」といったSaaS、「Windows Remote Desktop」やVPN、Oktaなどが提供しているクラウドベースのアイデンティティー管理サービスをターゲットにしている。

パスワードを狙う攻撃は幾つもある

　パスワードを狙う自動化されたサイバー攻撃は幾つもの種類があり、それぞれ、対応方法が異なる。

ブルートフォース攻撃

　パスワードを奪おうとする最も単純な攻撃がブルートフォース攻撃だ。考えられる全てのパスワードのあるアカウントに対して試すことで突破しようとする。ただし、パスワードを3回間違えたらロックされるようなアカウントに対しては通用しない。

　ブルートフォース攻撃には全ての可能なパスワードを一つずつ試す「総当たり攻撃」や、よく使われるパスワードのリストを使って試行する「辞書攻撃」があるものの、どちらも防御しやすい。ただし、単一のパスワードを選んで、ログインできなければ次のアカウントを試す「リバースブルートフォース攻撃」には対応しにくい。

パスワードリスト攻撃

　事前に入手したIDとパスワードのリストを使用して、不正アクセスを試みる手法がパスワードリスト攻撃だ。ユーザーが他のサービスで使い回いているパスワードが漏えいした場合にこの攻撃に狙われる可能性が高くなる。これをクレデンシャルスタッフィング攻撃と呼ぶ。パスワードの使い回しを避けることや、「Have I Been Pwned?」などのサービスを利用して、自分のパスワードが漏えいしていないかどうかを確認することが対策として有効だ。

パスワードスプレー攻撃

　少数のパスワードを多くのアカウントに対して同時に試すのがパスワードスプレー攻撃だ。リバースブルートフォース攻撃では単一のパスワードだけを使うが、パスワードスプレー攻撃では複数のパスワードを利用する。そのため、攻撃者が成功する可能性が高くなる。アカウントがロックされるリスクを減らすために、ブルートフォース攻撃のように大量のパスワードを一つのアカウントに使うことはない。

　この他、ユーザーに自らのパスワードを入力させるフィッシング攻撃などがある。

（キーマンズネット編集部）

　報告書によると、2024年4〜9月に攻撃者が主にパスワードスプレー攻撃のターゲットにしたのは、教育業界やエネルギー業界、交通業界だった。

　Trellixの研究者によると、攻撃グループにとってパスワードスプレー攻撃は扱いやすいのだという。手軽で効果的なだけでなく、広く分散されたbotネットを通じて、大規模な攻撃をバックグラウンドで継続的に実行するため、検出や攻撃者の特定が難しいのだ。

　検出リスクの低さと投資利益率の高さは、攻撃者に有利な状況をもたらす。特に、脆弱なパスワードポリシーを採用している組織や多要素認証（MFA）が導入されていないシステムが狙われた場合、攻撃者側の優位性が際立つ。

Microsoftも1カ月半発見できなかった

　ロシアに関連する脅威グループ「Midnight Blizzard」は、2023年にパスワードスプレー攻撃を用いてMicrosoftの本番環境以外にあったテスト用アカウントを侵害した（注2）。その後、同社の上級幹部の電子メールアカウントに対するアクセス権を取得した。

　その後、このアクセス権を利用して同社の上級幹部の電子メールそのものやその他の文書を盗んだ。パスワードスプレー攻撃は2023年11月末に始まり、Microsoftが攻撃を発見できたのは2024年1月12日だった。つまり発覚まで1カ月半かかってしまった。

　Trellixの研究者は報告書の中で「脅威グループはユーザー名を取得したり、ユーザー名の命名パターンを推測したりして得たデータを従業員リストと照合して、組織に対してパスワードスプレー攻撃を仕掛けた」と述べた。これは単純なパスワードスプレー攻撃をより強力にした攻撃だったということだ。

　報告書によると、攻撃者はアカウントIDを使って複数のプロキシやVPNノードを利用し、各アカウントに対して大量のパスワードを継続的に試すことができたという。

多要素認証に頼り切ることはできない

　このようなアイデンティティーベースの攻撃に対する予防策として有効なのは多要素認証だ。しかし、Trellixは攻撃者がソーシャルエンジニアリングを用いて多要素認証をすでに回避しており、このような状況が続くと予測した。

　報告書によると、今後さらに自動化されたAI駆動型の手法やAI支援型の手法が登場して、パスワードスプレー攻撃がより効率的で検出を回避しやすく、状況に適応したものになることが予想できるという。

出典：Attackers wield password-spray attacks to zero-in on targets, research finds（Cybersecurity Dive）
注1：THE CYBERTHREAT REPORT（Trellix）
注2：Midnight Blizzard attack seen as another sign of Microsoft falling short on security（Cybersecurity Dive）

原文へのリンク