パスワードスプレー攻撃について理解する

2019/06/11

1.jpg

ニュースでは毎日のように「有名企業で個人情報が漏えいした」というニュースが報じられる昨今ですが、ニュースで報じられる「個人情報の漏えいや不正アクセスによる事件・事故」は全体のごくわずかです。ニュースで報じられない裏では、ハッカーが日々「お金になりそうなサービス」を狙い、不正アクセスを試みています。

不正アクセスの手法の1つで、現在急増しているのが「パスワードスプレー攻撃」(password spraying) です。具体的にどのようなものか、どうすれば防げるのかについてご紹介します。

 

 

パスワードスプレー攻撃とは

2.jpg

パスワードスプレー攻撃とは、使われている可能性が高い複数のパスワードを利用して多数のアカウントに不正アクセスを試みる方法です。例えば、特定のオンラインサービスに登録しているユーザーから、「password」という文字列のパスワードを用いているユーザーを狙い、様々なIDを用いて「数十分に一度」というペースでゆっくりログインを試みます。この方法で、何十、何百、何千というサイトに対して攻撃を繰り返します。

不正アクセスの成功率は非常に低いため、数百回、数千回、数万回のログインを試みても1度も成功せず、全て失敗することもあるでしょう。しかし、攻撃は全て自動化されているので、いくら失敗したところで追加の労力がかかることはありません。ハッカーははじめに攻撃の設定さえ行ってしまえば、後は不正アクセス成功の「朗報」を待つだけです。

ここで重要なキーワードは「ゆっくり攻撃を行う」という点です。これは、1つの接続先から短時間に多数のログインが試みられた場合、サービス事業者から「明らかに怪しい接続先だ」と判断されて、一時的に接続が拒否される場合があります。このため、事業者側の対策を回避するため、数十分に一回という非常にゆっくりなペースでログインを試みるわけです。

 

 

パスワードスプレー攻撃と他の攻撃方法との違い

3.jpg

パスワードスプレー攻撃と似た用語で、「総当たり攻撃(ブルートフォース攻撃)」があります。総当たり攻撃は、特定のアカウント(ID)に対して、想定されるパスワードをフル動員して集中攻撃するタイプの手法です。例えば、「一般的によく使われている脆弱なパスワード Top 100」を順番に使って、特定のアカウントに対して繰り返しログインを試みるといったものです。

総当たり攻撃は、かつてほどに用いられなくなってきています。その理由は、多くのインターネットサイトにおいて、「一定回数以上ログインに失敗すると、アカウントがロックされる」という対策が導入されたためです。よって、例えば「password」「12345678」「pass1234」といったよく用いられるパスワードを使って攻撃したとしても、「3度失敗でロックされる」サービスであれば、4度目からは攻撃が行えなくなります。

また、「リスト型攻撃」という手法もあります。これは、「ダークウェブ(闇ウェブ)」で入手できる「他サイトから漏えいしたID・パスワード情報」を利用して、多数のサイトにログインを試みるものです。

例えば、ABCというサイトでユーザー認証情報が漏えいして、以下の情報が流出してしまったとします。

ハッカーは、こうしたIDとパスワードが何万件、何十万件も記載されているリストを使って、多くのサイトにログインを試みます。多くのユーザーはパスワードを使い回していること、またメールアドレスをIDとして使っていることから、「他のサイトでも同じID・パスワードでログインできる」場合が多いのです。

パスワードスプレー攻撃は、こうした攻撃と異なる手法を用いていますが、ユーザーが用いられる対策は「総当たり攻撃」や「リスト型攻撃」の対策と同じです。

 

 

パスワードスプレー攻撃を防ぐ対策

4.jpg

パスワードスプレー攻撃を防ぐための「専用の対策方法」はありません。逆に言えば、パスワードを破られないために用いられる一般的な対策で、パスワードスプレー攻撃を防げます。

  • 危険なパスワードは使わない(辞書に載っている単語、過去に漏えいが確認されたパスワードなど)。
  • 同じパスワードを複数のサービスで使い回さない。
  • パスワードと別な認証要素(指紋認証、顔認証、ワンタイムパスワードなど)を併用し、多要素認証を行う。

米国標準技術研究所 (NIST) の電子認証に関するガイドラインに、安全なパスワードの設定に関する詳細な記載がありますので、詳しくは以下の解説記事をご覧ください。

・参考記事
世界の電子認証基準が変わる:NIST SP800-63-3を読み解く

サービスを利用するユーザーは、「サービス事業者が提供する枠内」でしか、対策を行えません。例えば、多要素認証に対応していないサービスであれば、危険なパスワードを使わず、パスワードを使い回さない程度の対策しか行えないため、注意が必要です。

 

 

パスワードスプレー攻撃を防ぐ「トラスト・ログイン」

5.jpg

パスワードスプレー攻撃を防ぐためには、危険なパスワードを使わず、パスワードを使い回さず、そして多要素認証を行うことが重要となります。しかし、これに忠実に対応しようとすると「利用しているサービスの数だけ、異なるパスワードを管理する」ことになってしまいます。無味乾燥な文字列の組み合わせで作られたパスワードを何十個も記憶できる人は、そう多くないはずです。

ここで役に立つのが当社の「トラスト・ログイン」です。トラスト・ログインは、各種のインターネットサービスを用いる際のパスワードを一元管理できるので、「難しくて記憶できないようなパスワード」でもまとめてお預けできます。そして、トラスト・ログインへのログインを破られないように多要素認証も利用可能。ワンタイムパスワード (OTP) などを用いて、パスワード以外の認証を併用して、不正アクセスからアカウントを守ります。

多要素認証を利用した場合でも、1ユーザーあたり月額100円から利用できるため、他社サービスと比べて導入コストが非常に低いのも魅力の一つです。ぜひサービス概要の資料をご覧いただき、パスワードスプレー攻撃対策としてご活用ください。