Welcome2026!1 passworduser1@acme.com user2@acme.com user3@acme.com user4@acme.com user5@acme.com user6@acme.com one match → access

パスワードスプレー攻撃

11 最小読み取り安全

ほとんどのアカウント乗っ取り攻撃は高度なものではありません。多くの攻撃者はあなたの特定のパスワードを知りません。彼らは何百万ものアカウントに対して一般的なものを試し、うまくいったものを収穫します。パスワード スプレー攻撃は、1 つのアカウントに対するブルート フォース攻撃の逆であり、少数の一般的なパスワードを多くのユーザー名に分散させます。彼らは驚くほど頻繁に働きます。

記事全文は以下に英語で記載されています。

パスワード スプレー は、攻撃者が多数のアカウントのリストに対して同じ共通パスワード (または少数の共通パスワード セット) を試行する攻撃パターンです。ロックアウト ポリシーが検出して停止する 1 つのアカウントに対するブルート フォースとは異なり、パスワード スプレーは、各候補のパスワードを使用して各アカウントを 1 回か 2 回試行するだけでアカウントごとのロックアウトを回避します。

経済性

典型的な組織のユーザーの 0.5% が「Password123」または季節限定の亜種を使用している場合、10,000 個の有効なユーザー名を持つ攻撃者は、その 1 つを試行するだけで約 50 件の成功したログインを見つけることになります。リスト全体に対するパスワード。コストは低いです。報酬は実際のアカウントへのアクセスです。パスワード スプレー攻撃は、資格情報ベースの侵入の主要な初期アクセス ベクトルです。

一般的な候補

攻撃者は、ランダムな単語リストから抽出しません。彼らは、頻度によってランク付けされた侵害で確認されたパスワードのリストを使用します。

  • 連続したパスワード (「Password1」、「Password2」、「Password123」、「Welcome1」)
  • 季節のパターン (「Spring2026!」、 「Summer2026!」)
  • 会社名パターン (「Acme123」、「Acme2026」)
  • 予測可能な置換を伴う一般的な単語 (「P@ssw0rd!」)
  • スポーツチーム名 + 年 + サフィックス

トップ侵害データからの 50 個のパスワードは、おそらく、大規模な組織の実際のユーザーの 5 ~ 10% をカバーします。上位 1,000 件にはさらに多くの内容が含まれています。

攻撃者があなたのユーザー名を知る方法

ユーザー名リストの由来:

  • LinkedIn スクレイピング (従業員の名前 + 会社のメール形式 = ユーザー名)
  • 暴露された過去のデータ侵害電子メール
  • 標的組織に対するOSINT
  • 標的自身のシステムにおける顧客向けのユーザー列挙の脆弱性
  • 電子メール形式の推測 - 多くの企業が予測可能なパターン(firstname.lastname@、flastname@など)を使用

Whereパスワードスプレー成功

  • Microsoft Exchange / Office 365 / Outlook Web Access — 最もターゲットとされるサーフェス。インターネットに公開される認証エンドポイント。
  • VPN ポータル — Cisco AnyConnect、Pulse Secure、Fortinet など。侵害された資格情報によりネットワーク レベルのアクセスが可能になります。
  • Microsoft 365 IMAP/SMTP レガシー認証 — 多くの機能で MFA をバイパスします。構成.
  • Citrix、RDP ゲートウェイ — 特に新型コロナウイルスの在宅勤務時代に人気のターゲット.
  • クラウド サービス コンソール — IAM ユーザー向けの AWS、Azure、GCP 認証.

検出パターン

パスワード スプレーには特徴的なシグネチャがあります:

  • 1 つの IP から短いウィンドウ内に多数の異なるユーザー名が試行
  • ユーザー名あたりのログイン試行が少ない (通常は 1 つまたは 2 つ)
  • 多くの地域に分散された IP (ボットネット主導のスプレー)
  • 失敗共通パスワードの試行に集中したログイン

最新の ID プロバイダー (Microsoft Entra ID、Okta、Google Workspace) には、これらのパターンに基づいて調整またはブロックする検出ポリシーと条件付きアクセス ポリシーが含まれています。防御は自動的に行われます。

Defenses

  • MFA on everything. たとえパスワードがスプレー推測可能であっても、2 番目の要素が乗っ取りをブロックします。ハードウェア キーの MFA はそれを完全に打ち破ります。 SMS ベースの 2FA であっても、ほとんどの自動スプレー試行を停止します。
  • 長さの最小値を含むパスワードの複雑さ。 最小文字数 14 文字以上により、ユーザーをスプレー脆弱性のある共通パスワード プールから強制的に排除します。
  • 禁止パスワード リスト。 Microsoft Entra などにより、特定の共通パスワードを拒否できます。さらに良い方法: HaveIBeenPwned の Pwned Passwords API (k-anonymous lookup) を介して、候補パスワードを侵害データと照合します。
  • 適応型認証. 通常とは異なる場所、通常とは異なるデバイスからのログイン、または疑わしいパターンからのログインには追加の検証が必要です。
  • レガシー認証プロトコルを無効にします。 MFA を強制しない IMAP/SMTP/POP。最新のプロトコルでは、MFA サポートを備えた OAuth2 が使用されます。従来のものはそうではありません。
  • スプレー対応のアカウント レベルのレート制限。 試行が少数失敗するとアカウントをロックします。多くのアカウントにわたるパターンに関するセキュリティを警告します。
  • パスキー。 攻撃対象となるパスワードを完全に排除します。

ユーザーにとっての意味

個人の場合:

  • HaveIBeenPwned に表示されるパスワードは使用しないでください。既存のパスワードを確認してください。
  • パスワード マネージャーを使用してください。サイトごとに 16 ~ 32 個のランダムな文字を生成します。
  • すべての重要なアカウントで MFA を有効にし、ハードウェア キーがサポートされている場合はサポートします。
  • 提供された場合はパスキーに切り替えます。

組織の場合:

  • 組織名と季節限定のパスワード リストに関連付けられた禁止パスワード リスト
  • 条件付きスプレー パターンを検出して対応するアクセス ポリシー
  • 管理者用のハードウェア キーを使用した、すべてのアカウントへのMFAの適用
  • 定期的なパスワード強度の監査

よくある質問

パスワード スプレーはクレデンシャル スタッフィングとどう違うのですか?
Credential Stuffing は、侵害されたデータベースから漏洩した電子メールとパスワードのペアを試みます。パスワード スプレーは、列挙されたユーザー名リストに対して一般的なパスワードを試行します。どちらも大規模な認証情報ベースの攻撃です。違いは、パスワード候補のソースです。
私の会社のロックアウトポリシーはスプレーを防止しますか?
スプレーは各アカウントを 1 回か 2 回しか試行しないため、アカウントごとのロックアウトは役に立ちません。組織全体のレート制限とパターンベースの検出がスプレーをキャッチするものであり、これらは明示的に構成する必要があります。
MFA が標準的な防御であるのはなぜですか?
MFA は方程式を完全に変えます。パスワードが推測された場合でも、2 番目の要素によりログインがブロックされます。ハードウェア キー MFA は、自動スプレーでは本質的に解読できません。 MFA + パスキーへの移行が、これらの攻撃の成功率を最も低下させているものです。
スプレー攻撃は減少していますか?
量は多いが、MFAの普及に伴い成功率は低下している。スプレー経由でアカウントを取得できない攻撃者は、フィッシングやソーシャル エンジニアリングに移行します。このカテゴリーはなくなるわけではありません。ディフェンスはほとんど勝っています。
API を対象としたスプレーについてはどうですか?
同じパターンが、基本認証またはトークンベースの認証を使用して API エンドポイントに適用されます。従来のパスワード スプレーを減らし、API キーのブルート フォースやセッション トークンの推測を増やします。防御も同様で、レート制限、異常検出、静的資格情報の回転トークンへの置き換えなどがあります。
パスワード スプレー攻撃の説明: 1 つのパスワード、多数のアカウント