パスワードスプレー攻撃 【password spraying attack】

現代の認証システムの多くは、同じアカウントで何度も連続してパスワードを間違えると、攻撃者による「なりすまし」の可能性があると判断して一定時間ログインできないようにするアカウントロックの仕組みがあり、同じアカウントに対して大量のパスワード候補でログインを試みるブルートフォース攻撃を防いでいる。

パスワードスプレー攻撃では、標的のシステムやサービスに登録されている利用者のアカウント名のリストを何らかの方法で取得あるいは生成し、パスワードを固定してアカウント名を変えながらログインを試行する。システム側からは異なる利用者のログイン試行がそれぞれ1回だけ失敗したように見えるため、ロックはなかなか発動しない。

ログイン試行の間隔が開くと連続試行とみなさないシステムが多く、大量のアカウントで次々ログインを試みているうちに数十分、数時間、数日といった長い時間が経過し、次のパスワード候補で同じアカウントのログインを試行しても再び「1回目」とみなされる場合もある。こうなると無制限に多数のパスワード候補を試し続けられる状態になってしまう。

多数のアカウントに同じパスワード候補を試すという手法の性質上、パスワード候補の生成には利用者の個人情報などに基づく推測は使えないため、「password」「12345678」といった、よく知られる単純で推測しやすい脆弱な文字列を候補とすることが多いとされる。

関連用語

アカウント

【account】

サーバ

【server】

ログ

【log】

ログイン

【login】

アプリケーションソフト

【application software】

総当たり攻撃

【brute force attack】

辞書攻撃

【dictionary attack】

不正アクセス

【illegal access】

アクセス

【access】

ユーザーアカウント

【user account】

サイバー攻撃

【cyberattack】

ネットワーク

【network】

ID

【identification】

システム

【system】

データ

【data】

セキュリティ

【security】

パスワード

【password】

リスト

【list】

サイト

【site】

ロック

【lock】