はじめに:多くの企業が見落としている新しい攻撃手法
「パスワードスプレー攻撃」という言葉を聞いたことはあるでしょうか。 ブルートフォース攻撃のように有名な攻撃手法ではありませんが、実は多くの企業がこの攻撃に気づかないうちに狙われています。 従来のブルートフォース攻撃は、1つのアカウントに対して短時間に大量のパスワード試行を実行するため、ログに明確な足跡を残します。 一方、パスワードスプレー攻撃は巧妙です。 複数のアカウントに対して、少数のパスワード試行を行うことで、ログ上では「普通のログイン失敗」に見えてしまうのです。
本記事では、パスワードスプレー攻撃の具体的な仕組み、サインインログでの見分け方、そして企業が今すぐ実施できる防ぎ方を詳しく解説します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
パスワードスプレー攻撃とは:基本的な理解
攻撃の仕組み
パスワードスプレー攻撃(Password Spraying)は、ブルートフォース攻撃の一種ですが、攻撃パターンが全く異なります。
ブルートフォース攻撃: 1つのアカウント(例:user1@company.com)に対して、短時間に「password123」「MyPassword1」「SecurePass456」といった異なるパスワードを何度も試行します。 すぐに検知される攻撃方法です。
パスワードスプレー攻撃: 複数のアカウント(例:user1、user2、user3、user4…)に対して、同じパスワード(例:「Password123」「Spring2026」)を1回だけ試行します。 多くのユーザーは、会社の初期パスワードをそのまま使用していたり、季節や年号を含む単純なパスワードを設定していたりするため、この攻撃は高い確率で成功します。
攻撃が成功する理由
パスワードスプレー攻撃が成功しやすい理由は、人間のパスワード設定行動にあります。
共通パスワードの存在: 多くのユーザーが「Spring2026」「NewYear2026」「Company123」といった、容易に推測できるパスワードを使用しています。 特に、企業の初期パスワードがデフォルトのままだと、攻撃者にとって格好のターゲットになります。
パスワードの再利用: 仕事用アカウントと私用アカウントで同じパスワードを使用しているユーザーも多いです。 もし個人的な情報漏えい事件でパスワードが流出したら、攻撃者はそれを使って会社のアカウントへのアクセスを試みます。
ポリシー遵守の甘さ: パスワードの定期変更が義務付けられていても、前のパスワードに数字を付け足すだけ(「OldPassword1」→「OldPassword2」)という程度の変更では、予測が容易です。
パスワードスプレー攻撃のターゲット
狙われやすいアカウント
攻撃者は、すべてのアカウントを同じ確率で狙うわけではありません。 特定のタイプのアカウントをターゲットにします。
管理者アカウント: admin、administrator、root といった、共通の名前を持つ管理者アカウント。 攻撃者は、デフォルトまたは単純なパスワードが使用されている可能性が高いと考えています。
汎用アカウント: helpdesk、support、info といった、組織内で複数の人が使用する可能性のあるアカウント。 個人アカウントより強力なパスワード管理が行われにくい傾向があります。
初期状態のアカウント: 新入社員用のアカウント、テスト用アカウント、新しく構築されたシステムのアカウント。 これらは、デフォルトパスワードが未変更のまま残っている可能性があります。
長期未使用アカウント: 休職者や退職予定者のアカウント。 パスワードが変更されないまま放置されていることがあります。
最近のトレンド:クラウドサービスへの攻撃
かつて、パスワードスプレー攻撃のターゲットは、オンプレミスのシステムが中心でした。 しかし、テレワークの普及に伴い、攻撃の標的が急速にクラウドサービスに移行しています。 特に、Microsoft 365、Google Workspace、Salesforce といったクラウドサービスが狙われています。
クラウドサービスは、インターネット上に公開されているため、攻撃者にとってアクセスが容易です。 同時に、使用するユーザー数が多く、成功確率も高いのです。
サインインログでパスワードスプレー攻撃を見分ける方法
兆候1:異なるIPアドレスからの大量のログイン失敗
パスワードスプレー攻撃の典型的な兆候は、多様なIP アドレスから短期間に大量のログイン失敗が記録されることです。
確認すべき項目: 同じ期間内に、複数の異なるIP アドレスからログイン試行が記録されているか。 それらのIP アドレスから、通常よりも多くのログイン失敗が記録されているか。 失敗が短時間に集中しているか、それとも数時間に渡って分散しているか。
注意点: 単一のIP アドレスからの大量のログイン失敗は、ブルートフォース攻撃の兆候です。 一方、複数のIP アドレスからの分散したログイン試行は、パスワードスプレー攻撃特有のパターンです。
兆候2:通常と異なるジオロケーション(地理的位置)からのアクセス
ログイン試行のジオロケーション情報を分析することも、パスワードスプレー攻撃の検知に有効です。
確認すべき項目: いつもはアメリカからのアクセスなのに、突然中国やロシアからのアクセスが記録されている。 通常の営業時間外(例えば深夜2時)に、複数の国からのアクセスが集中している。 従業員が海外出張していないはずの時期に、複数の海外からのアクセスが記録されている。
ジオロケーション分析の限界: VPNやプロキシを通したアクセスの場合、ジオロケーション情報が不正確になることがあります。 また、大規模なデータセンターからのアクセスは、多数のユーザーが同じIP から接続しているため、判別が難しくなります。
兆候3:長期間使用されていないアカウントでの突然のログイン試行
パスワードスプレー攻撃は、特に使用されていないアカウントを狙うことが多いです。 これは、そのようなアカウントのパスワードが変更されずに放置されている可能性が高いからです。
確認すべき項目: 過去3ヵ月間ログインがなかったアカウントに対して、突然ログイン試行が記録されている。 休職者や退職予定者のアカウントで、異常なログイン試行が記録されている。 テスト用や一時的なアカウントで、通常では想定されないアクセスが記録されている。
兆候4:特定のユーザーグループへの集中的なログイン試行
パスワードスプレー攻撃は、すべてのユーザーをランダムに狙うのではなく、特定のグループを標的にすることがあります。
確認すべき項目: 営業部門のユーザーだけ、あるいは特定のプロジェクトチームのユーザーだけにログイン失敗が集中していないか。 管理者アカウントに対して、異常な数のログイン試行が記録されていないか。 人事部や財務部など、機密情報を扱う部門のアカウントがターゲットになっていないか。
サインインログを監視するための実践的な方法
監視ツールの活用
パスワードスプレー攻撃を早期に検知するには、自動監視ツールの導入が不可欠です。
Microsoft 365 の場合: Azure Identity Protection を有効化すると、「パスワード スプレー攻撃」という専用のアラートが自動生成されます。 このアラートは、サインインログの分析に基づいて、攻撃の可能性を自動判定します。 Azure AD ポータルで「リスク検出」セクションを監視することで、リアルタイムで脅威情報を把握できます。
Google Workspace の場合: Google Cloud’s Security Command Center(SCC)を使用することで、異常なログイン活動を監視できます。 ログイン試行パターンの分析に基づいて、疑わしいアクティビティが検出されたら、自動アラートが生成されます。
オンプレミスシステムの場合: Windows イベントログの「イベント 4625(ログイン失敗)」を監視します。 SIEM(セキュリティ情報・イベント管理)ツール(Splunk、LogRhythm など)を使用することで、複雑な分析ルールを設定できます。
監視ルールの設定例
効果的な監視ルールを設定するには、以下のような条件を組み合わせます:
ルール1:短時間に多数のユーザーからのログイン失敗 条件:同じIP アドレスから、1時間以内に10人以上の異なるユーザーに対してログイン失敗が記録される。 アクション:すぐにセキュリティチームに通知。 理由:複数のアカウントに対する系統的な試行は、パスワードスプレー攻撃の明確な兆候です。
ルール2:通常と異なるジオロケーションからのログイン試行 条件:従業員が出張していないはずの国から、複数のユーザーのログイン試行が記録される。 アクション:該当するユーザーに確認メールを送信。 理由:異なるジオロケーション情報は、アカウント乗っ取りの初期段階の兆候となります。
ルール3:長期未使用アカウントへのアクセス 条件:過去90日間ログインがなかったアカウントに対して、ログイン試行が記録される。 アクション:該当アカウントを一時的にロック。 理由:未使用アカウントのパスワードが変更されていない場合、成功する可能性が高いです。
ルール4:営業時間外の大量ログイン試行 条件:営業時間外(深夜0時~6時など)に、複数のユーザーに対してログイン試行が集中する。 アクション:詳細なログを確認し、攻撃の可能性を判定。 理由:正規のユーザーは通常、営業時間内にのみログインします。
ログの分析ツール
ログ分析を効率化するために、以下のようなツールの導入を検討してください:
Splunk: 大規模なログデータを検索・分析できる業界標準ツール。 複雑な監視ルールを設定でき、パスワードスプレー攻撃検知用のダッシュボードも提供されています。
Elastic Stack(ELK Stack): オープンソースのログ分析プラットフォーム。 Splunk より低コストで導入できる場合があります。
Google Cloud Logging(旧Stackdriver Logging): Google Cloud を使用している場合、統合ログ管理ツール。 Google Workspace との連携が容易です。
Microsoft Sentinel: Microsoft 365 のセキュリティ分析プラットフォーム。 Azure AD、Office 365 のログを自動分析し、脅威を検出します。
パスワードスプレー攻撃の防ぎ方
短期対策:認証の強化
多要素認証(MFA)の導入: これが最も効果的な防御手段です。 パスワードだけでなく、ワンタイムパスワード(OTP)、スマートフォンの認証アプリ、生体認証などを組み合わせることで、攻撃者がアカウントを乗っ取ることができなくなります。 ログイン失敗は増えるかもしれませんが、実際の被害は防げます。
スマートロックアウトポリシーの導入: 一定時間内に一定数のログイン失敗が記録された場合、一時的にアカウントをロックします。 ただし、ユーザーの利便性を損なわないよう、閾値の設定には注意が必要です。 例えば、15分以内に3回のログイン失敗があったら、15分間ロックするといった具合です。
ADFS エクストラネット ロックアウトの有効化: オンプレミスのActive Directory(AD)を使用している場合、ADFS(Active Directory Federation Services)のエクストラネット ロックアウト機能を有効化します。 これは、インターネット経由のログイン失敗をより厳密に監視し、早期にアカウントをロックします。
中期対策:パスワードポリシーの見直し
強力なパスワードポリシー: 会社のパスワードポリシーが不十分でないか、見直してください。 推奨される条件は: 最小12文字以上。 大文字、小文字、数字、記号を混在させる。 連続する同じ文字(「aaaa」)や、単語に基づくパターン(「Password123」)を禁止。 前のパスワードの使い回しを防ぐため、過去24個のパスワードとの重複をチェック。
初期パスワードの安全な設定: 新入社員や新しいシステムの初期パスワードは、絶対にデフォルト値のままにしてはいけません。 複雑でランダムな初期パスワードを生成し、初回ログイン時に必ず変更させるフロー を構築してください。
パスワード変更の定期化: 最低でも年に1回、できれば半年に1回のパスワード変更を義務付けてください。 ただし、変更を強制するあまり、ユーザーが単純なルール(数字を足すだけ)でパスワードを変更するようになってしまっては逆効果です。 パスワードマネージャーの導入を検討し、ユーザーが複雑で一意なパスワードを容易に生成・管理できる環境を整備してください。
長期対策:認証技術の進化
パスキー(Passkey)への移行: パスワードに依存しない認証方式への移行が長期的な目標です。 Apple、Google、Microsoft が推進している「パスキー」は、パスワードの代わりに、スマートフォンや生体認証を使用して認証を行います。 パスワードがなければ、パスワードスプレー攻撃そのものが成立しなくなります。
Windows Hello や Face ID の推進: Windows PC や Mac で、生体認証やPIN による認証を推進することで、パスワード依存度を低下させることができます。
ゼロトラスト認証: 単なるログイン時の認証だけでなく、その後のアクティビティも継続的に検証する「継続的認証」の導入を検討してください。 これにより、たとえパスワードが漏えいしても、不正なアクティビティは即座に検知されます。
企業が今すぐ実施すべき対策チェックリスト
今月中に実施すべき項目
□ 現在使用しているシステムのサインインログを確認し、異常なログイン試行がないか確認する。 □ Microsoft 365 を使用している場合、Azure Identity Protection を有効化し、「パスワード スプレー攻撃」アラートを設定する。 □ 管理者アカウント、汎用アカウント、長期未使用アカウントのパスワードを強力なものに変更する。 □ 複数のプロバイダに分散している場合は、各ログを一元管理するSIEM ツールの導入を検討する。
3ヵ月以内に実施すべき項目
□ 全従業員に対して、多要素認証(MFA)の導入を開始する。 □ パスワードポリシーの見直しを行い、12文字以上で複雑なパスワードを要求する体制を整備する。 □ アカウントロックアウトポリシーを設定し、短時間の大量ログイン失敗に対応する。 □ パスワードスプレー攻撃検知用の監視ルールを設定し、自動アラート機能を有効化する。
6ヵ月以内に実施すべき項目
□ 定期的なセキュリティ監査を実施し、パスワードスプレー攻撃の兆候を分析する。 □ ユーザーへのセキュリティ教育を実施し、強力なパスワード設定やフィッシング詐欺への対策を周知する。 □ パスキー(Passkey)やWindows Hello などの新認証技術への移行を検討し、段階的な導入計画を立案する。
固定IPで安全なアクセス環境を実現するなら「ロリポップ!固定IPアクセス」
パスワードスプレー攻撃への対策として、MFA や強力なパスワード運用が有効であることをお伝えしました。 同時に、企業システムへのアクセス制限を強化することも重要です。 IP制限を用いて、特定のIPアドレスからのアクセスのみを許可することで、不正なアクセスを大幅に減らせます。
ロリポップ!固定IPアクセスは、今お使いのインターネット回線をそのまま活かして固定IPアドレスを利用できるVPNサービスです。 月額539円(税込)から、初期費用0円・最大2ヵ月無料で始められます。 WireGuardによる高速接続で、VPN特有の速度低下も気になりません。 社内システムやクラウドサービスへのIP制限を実装する際、固定IPアドレスは必須です。 プロバイダの乗り換えも不要で、申し込んだその日から利用できます。 MFA と固定IP制限を組み合わせれば、パスワードスプレー攻撃への防御はより一層強固になります。
