パスワードスプレー攻撃

AZ-900の勉強中に見かけたので調べてみることにしました。


パスワードスプレー攻撃は総当たり攻撃の一種で、多数のアカウントに同じパスワードを用いてログインを試みるという攻撃手法です。

総当たり攻撃への対策として、既定の回数ログインに失敗したら一定時間アカウントをロックするという手段がありますが、パスワードスプレー攻撃ではパスワードはそのままにアカウント名を変更してアクセスを行うため、システム側からは1回の失敗としか見なされず、検知が難しくなっています。
また、時間を空けて次のパスワードを試すためにシステムからは単独の失敗として扱われるケースが多く、何度も攻撃を行うことが出来てしまいます。

多要素認証の設定や、複雑なパスワードを設定することで対策しましょう。


NordPassのTop 200 most common passwordsによれば、2022年世界で最も使われていたパスワード第1位はpassword、2位が123456、3位が123456789だったそうです。
よく用いられるパスワードの傾向としては前述のような数字の羅列だったりpassword1のようなpasswordをちょっと捻ったもの、キーボードの配列や"Let me in"、"I love you"、"superman"といった普遍的なフレーズが多いらしいです。
有名ブランドやスポーツ選手の名前をパスワードにするといった例もあるみたいですね。

私は教授が総当たり攻撃のことをブルートフォースアタックと言っているのを聞いて「おぉ」と思ったことがありますが、英語やドイツ語にするとなんだかカッコ良くなりますよね。横文字を使う人の気持ちがその時少しだけ分かったような気がしました。

参考URL：

https://cybersecurity-jp.com/column/30629

https://nordpass.com/most-common-passwords-list/

https://www.safetydetectives.com/blog/the-most-hacked-passwords-in-the-world/