パスワードスプレー攻撃とは？総当たりと違う危険性と対策方法を徹底解説

パスワードスプレー攻撃とは何か

一つの弱いパスワードを、多数アカウントへ低速で試す攻撃です

パスワードスプレー攻撃は、少数のよくあるパスワードを、多数のアカウントへ薄く広く試す攻撃です。CISA のBrute Force Attacks Conducted by Cyber Actors↗は、この手口を「多くのアカウントに対し、一般的に使われる一つのパスワードを試すことで、急激なロックアウトを避ける攻撃」と整理しています。

ここで重要なのは、攻撃者が大量の候補を一人の利用者へ打ち込むのではなく、一つの候補を多数ユーザーへ分散して試すことです。そのため、個別アカウントだけを見ると「たまに失敗しているだけ」に見え、気付きにくくなります。

クレデンシャルスタッフィングや一般的な総当たりとは前提が違います

クレデンシャルスタッフィングは、漏えい済みの ID とパスワードの組をそのまま再利用する攻撃です。一方でパスワードスプレー攻撃は、認証情報の漏えい組を前提とせず、『Summer2026!』のような共通で弱い候補を多数アカウントへ試す点が違います。

いわゆる一般的な総当たりは、一つのアカウントに対して多数候補を連続試行するイメージに近いですが、パスワードスプレー攻撃は目立たない速度で横断的にアカウントをなぞるため、ロックアウトだけを頼りにした防御では止めにくくなります。

シングルサインオンや管理者系アカウントが主戦場になりやすい手口です

2024 年 10 月の共同勧告Iranian Cyber Actors’ Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizations↗では、Microsoft 365、Azure、Citrix などに対しパスワードスプレー攻撃を含む総当たりで侵入し、その後に追加認証登録変更や環境調査を進めたと整理されています。

つまり危険なのは一般利用者アカウントの件数だけではありません。管理者、委託先、ヘルプデスク、シングルサインオン周辺のアカウントで一つでも通ると、メール、クラウド管理画面、社内ポータル、外部接続点の調査へ連鎖しやすいのがこの攻撃の本質です。

なぜ成立するのか、どこが盲点になるのか

『よくあるパスワード』が残る組織ほど、攻撃者にとって効率が良くなります

パスワードスプレー攻撃は、漏えい済み認証情報のような大量データを必須としません。代わりに、季節語、社名、製品名、年号、役割名が混ざった弱い候補を多数アカウントへ当てます。Microsoft Learn のMicrosoft Entra のパスワード保護↗は、世界共通の禁止パスワードと組織固有の禁止語を組み合わせて、この種の弱い候補を減らす前提で設計されています。

つまり企業側で見るべきなのは、「長さ 8 文字以上か」より、推測されやすい共通候補をどこまで排除できているかです。長さだけのルールでは、季節語や社名入りの派生を十分に止められません。

アカウントロックだけに頼ると、低速分散型の試行を見逃します

CISA の 2018 年注意喚起が今も重要なのは、攻撃者が急激なロックアウトを避けるために、多数アカウントへ分散すると早くから指摘しているからです。つまり、個々のユーザー失敗回数だけを見る運用では、見逃しやすい構造が最初からあります。

Microsoft Learn のリスク検知とは何か↗でも、パスワードスプレー攻撃は「正しいパスワードが試された形跡」を伴う検知として扱われています。これは、アカウント単位の失敗だけでなく、横断的な試行パターンを見る必要があることを示しています。

外から見えるログイン面が多いほど、試される条件が増えます

パスワードスプレー攻撃は認証技術の問題に見えますが、実務ではどれだけ試行先が外から見えているかも重要です。古い会員ポータル、移行前のログイン URL、残存した Citrix や VPN、外部委託の入口、シングルサインオン前段の公開面が多いと、それだけ攻撃者に「静かに試せる場所」を与えます。

そのため、外部接続点の可視化と認証監視は別テーマではありません。試される面を減らさない限り、検知だけでは攻撃回数を減らせません。

最近の公的勧告から分かること

2024 年の共同勧告でも、重要インフラに対する入口として使われています

2024 年の CISA 共同勧告は、パスワードスプレー攻撃を過去の古い手口ではなく、今も重要インフラ侵害に使われる入口として扱っています。対象には Microsoft 365、Azure、Citrix が含まれ、認証後は追加の認証設定変更や横展開へ進んだと整理されています。

ここから言えるのは、パスワードスプレー攻撃を「単なるログイン失敗の増加」として見ると遅いということです。成功した後はメール、クラウド、遠隔接続、内部調査へ広がるため、侵入の前段と侵入後の初動を同じ計画で見る必要があります。

禁止パスワードとスマートロックアウトは、別々ではなく一緒に効かせます

Microsoft Learn のスマートロックアウトで攻撃を防ぐ方法↗は、単に回数制限をかけるだけでなく、禁止パスワードとロックアウト制御を組み合わせることを前提にしています。弱い候補が残れば、低速分散型の試行は続きますし、ロックアウトだけでは横断試行を拾い切れません。

つまり「禁止パスワードの整備」「多要素認証の例外削減」「横断監視」は、別々に担当を持つより一つの認証改善テーマとして束ねた方が実効性が出ます。

特に、認証失敗の件数だけでなく、どの入口で試行が繰り返されたかを並べて見ると、改善すべき公開導線が見えやすくなります。

狙われやすいのは一般利用者だけでなく、外部接続と高権限の境目です

公的勧告や Microsoft の資料で共通しているのは、一つ成功するだけで影響の大きい境界アカウントが危ないという点です。管理者、委託先、ヘルプデスク、シングルサインオン周辺、高権限のメール管理、クラウド管理画面がここに含まれます。

そのため、定期見直しでは一般利用者数より、どの例外アカウントが外部接続と管理権限の境目にあるかを確認する方が優先です。攻撃者は件数の多さだけでなく、一つ通れば深く入れる場所を探します。

企業で何が起きるのか、どこまで被害が広がるのか

一つの成功が、メール、管理画面、横移動の入口になることがあります

パスワードスプレー攻撃は、失敗ログだけ見ると地味ですが、一つ成功した瞬間に被害の質が変わります。管理者、ヘルプデスク、委託先アカウントなら、メール、クラウド管理画面、サポート導線、RDP、設定変更へ進みやすくなります。

2024 年の CISA 共同勧告でも、侵入後に環境調査、追加の認証情報取得、RDP、認証登録変更が続いたと整理されています。つまり、パスワードスプレー攻撃は単なるログイン妨害ではなく、後続の権限拡大や横移動の前段として扱う必要があります。

委託先や共有運用のアカウントが残ると、一般利用者より重くなります

実務で本当に危険なのは、一般利用者アカウントの件数より、高権限者や委託先の固定運用が残っていることです。共有 ID、移行中の例外、期限のない外部委託 ID は、一つ通るだけで管理系操作に届きやすくなります。

そのため、パスワードスプレー攻撃対策は「ログイン API の自動試行対策」だけで閉じません。誰のアカウントが何に触れられるか、どこに例外が残っているかまで含めて設計しないと、入口だけを止めて下流を残す形になります。

クレデンシャルスタッフィングと違い、漏えい元が見えなくても成立します

クレデンシャルスタッフィングは、漏えい済みの ID とパスワードの組を前提にするため、「どこかで漏れたものが再利用された」と理解しやすい手口です。一方でパスワードスプレー攻撃は、共通で弱いパスワードの存在だけで成立するため、漏えい元が特定できなくても被害が起きます。

だからこそ、組織側は「漏えいしていないはずだから大丈夫」と考えず、弱い共通パスワード、外から見えるログイン面、成功後の初動を別々ではなく同じ問題として扱う方が実務に効きます。

企業が優先してやるべき対策

パスワードスプレー攻撃は、画像認証やアカウントロックだけで終わるテーマではありません。公開面の棚卸し、弱い共通パスワードの排除、横断ログ監視、成功後の封じ込めまでを同じ流れで設計する必要があります。

最初にやるべきは、弱い共通パスワードを減らすことです

Microsoft Learn のスマートロックアウトやパスワード保護の資料は、単に回数制限をかけるだけでなく、弱い候補そのものを使わせないことを前提にしています。社名、季節、製品名、役割名、年号を混ぜた派生は、長さ条件だけでは残りがちです。

まずは管理者、委託先、ヘルプデスク、共有運用のアカウントから、禁止パスワードと強い認証へ寄せることが出発点です。ここが弱いままだと、検知しても次の週に同じ攻撃が戻ります。

検知は『一人の失敗回数』ではなく『横断パターン』で見る必要があります

Microsoft Entra ID Protection は、パスワードスプレー攻撃を検知候補として扱い、正しいパスワードが試されたサインも含めて見ます。実務でも、一つの送信元から複数アカウントへ広がる失敗、地域不整合、短時間の成功切り替わりを束ねて見る方が有効です。

ここが弱いと、個別アカウントでは「1 回失敗しただけ」に見える低速分散型の試行を取りこぼします。監視不足の課題と同じで、異常があるかではなく、どの単発イベントがつながると攻撃になるかを見なければいけません。

さらに、検知した後に確認する対象も決めておく必要があります。メール管理、クラウド管理画面、遠隔接続、委託先導線、認証設定変更履歴のどこを優先して見るかが決まっていないと、検知できても封じ込めの手順が毎回ばらつく状態になります。横断監視は、見つけることだけでなく、その後に何を止めるかまで設計して初めて実務で効きます。

多要素認証と外部公開棚卸しを一緒に進めないと、試される条件が残ります

多要素認証は有効ですが、MFA未適用アカウントで整理したように、例外が残れば防御層の穴になります。同時に、古いポータルやログイン URL が外から見えていると、攻撃者は別の入口から試行を続けます。

そのため、認証製品の設定変更と並行して、どのログイン面がまだ外から見えているかを減らす必要があります。認証だけ強くしても、試行先が多ければ運用負荷は下がりません。

成功後の初動を短くしないと、別の事故へつながります

パスワードスプレー攻撃はログイン成功が始まりで、その後に環境調査、追加認証情報取得、RDP、メール悪用へつながることがあります。したがって、成功が出たら作業履歴失効、追加認証、管理者権限確認、関連導線の棚卸しまで短く回す必要があります。

ここが遅いと、横移動や送金詐欺の入口になります。つまり、パスワードスプレー攻撃対策は認証だけで完結せず、侵入後封じ込めまで含めて設計するのが自然です。

監視と見直しで残すべき指標

個人単位の失敗件数だけでなく、横断率と時間幅を見ます

パスワードスプレー攻撃は、一人あたりの失敗回数が少ないまま進むため、日次レポートで「失敗回数の多い利用者」だけを見ていても本質が見えません。実務では、同じ送信元から何人へ試行が広がったか、どの時間幅で分散しているか、成功へ切り替わった後に何が起きたかを一緒に見る必要があります。

たとえば、同じ外部 IP から 30 分おきに複数アカウントへ単発失敗が出る、深夜帯だけ管理者へ試行が寄る、単発失敗の後に一つだけ成功へ切り替わる、といったパターンは、個人単位では地味でも横断で見ると意味が変わります。指標を設計する時は、「誰が何回失敗したか」ではなく「同じ条件で誰がどれだけ薄く広く試されたか」へ寄せた方が、低速分散型の攻撃を拾いやすくなります。

高権限と委託先アカウントは、別枠で棚卸しした方が実務的です

通常利用者と同じ一覧で管理者や委託先アカウントを追うと、重要度の差が埋もれやすくなります。パスワードスプレー攻撃では、件数の多い利用者層より、一つ通るだけで影響が大きい境界アカウントの方が優先度は高くなります。管理者、ヘルプデスク、委託先、シングルサインオン前段のアカウントは、月次レビューでも別枠で持つ方が現実的です。

さらに、例外認証の有無、最終利用日、権限の範囲、どの公開ログイン面から入れるかを同じ行で見えるようにすると、是正の順番を決めやすくなります。高権限アカウントの棚卸しを認証チームだけに閉じず、委託先管理、ヘルプデスク運用、外部公開面の管理と一緒に見直すことで、入口と権限の両方を同時に減らせます。

廃止予定のログイン導線は、変更管理と閉鎖確認を結び付けます

パスワードスプレー攻撃の対策で後回しになりやすいのが、古いログイン URL や移行済みポータルの閉鎖確認です。システム移行の計画書では廃止済みでも、DNS、Web サーバ、リバースプロキシ、委託先向け導線のどこかに入口が残ることがあります。変更管理で「止める」と決めたことと、外から見えなくなったことは別だと考えた方が安全です。

そのため、月次レビューでは「廃止予定」「移行完了」「閉鎖確認済み」を分けて持ち、最後は外から確認して消えているかまで追う必要があります。認証強化だけではなく、試行先の削減を運用指標として持つと、パスワードスプレー攻撃に対する負荷を実際に下げやすくなります。

とくに、子会社や委託先が使っていた古い入口は、社内の変更完了報告から漏れやすいです。公開面の棚卸しを変更管理の完了条件へ組み込み、「外からまだ見えていないか」を最後に確認する運用を入れておくと、静かに試される入口を減らしやすくなります。閉鎖確認を記録として残すことも重要です。監査にも役立ちます。説明責任にも直結します。

パスワードスプレー攻撃の試行先を減らすなら ASM診断 PRO

ASM診断 PRO は、ID 保護製品や認証基盤の代替ではありません。ただし、パスワードスプレー攻撃対策で見落とされやすい「外から試されるログイン面がどれだけ残っているか」を整理する入口として使いやすい構成です。

特に、古い会員ポータル、残存した検証環境、委託先向け管理面、放置された接続先、シングルサインオン前段の公開導線を外側から棚卸しできると、どこが試行先になり得るか、どこを優先して閉じるべきかを決めやすくなります。認証製品だけで守るのではなく、試される面そのものを減らす判断につなげやすくなります。

パスワードスプレー攻撃は、弱い共通パスワードと監視不足だけでなく、古いログイン URL や用途不明の公開導線が残るほど継続しやすくなるのが実務上の特徴です。社内台帳では閉じたと思っていても、外から見るとまだ認証画面が残っているケースは珍しくありません。そうした差分を埋めると、試行される候補自体を減らせます。

また、委託先や子会社、過去の移行時に残った入口は、認証設定だけの見直しでは取りこぼしやすい領域です。ASM診断 PRO で外から見える範囲を洗い出し、認証例外と公開導線の例外を同じ会議で是正する流れを作ると、再発防止を運用へ戻しやすくなります。

よくある質問

パスワードスプレー攻撃とクレデンシャルスタッフィングの違いは何ですか？

パスワードスプレー攻撃は、少数のよくあるパスワードを多数アカウントへ低速で試す攻撃です。クレデンシャルスタッフィングは、漏えい済みの ID とパスワードの組をそのまま別サービスへ再利用する攻撃で、攻撃前提が異なります。

アカウントロックを入れていれば十分ですか？

十分ではありません。パスワードスプレー攻撃は、個別アカウントの急激なロックアウトを避けるように分散・低速で試されるためです。横断ログ監視と弱い共通パスワード排除も必要です。

どのアカウントが特に危険ですか？

管理者、委託先、ヘルプデスク、シングルサインオン周辺、メール管理、クラウド管理画面に届くアカウントが特に危険です。一つ成功するだけで被害の広がり方が大きく変わります。

多要素認証を入れていれば止められますか？

有効ですが十分条件ではありません。例外アカウント、弱い承認方式、旧式認証、成功後の初動遅れが残ると被害は成立します。公開ログイン面の棚卸しも必要です。

ASM診断 PRO はこの攻撃対策にどう役立ちますか？

ASM診断 PRO は認証そのものを止める製品ではありませんが、外から見えるログイン URL、古いポータル、管理画面、委託先導線を棚卸しし、試される公開面を減らす判断を支援できます。

まとめ

パスワードスプレー攻撃は、少数の弱い共通パスワードを多数アカウントへ低速で試し、目立つロックアウトを避けながら侵入を狙う手口です。漏えい済み認証情報がなくても成立し、管理者、委託先、シングルサインオン周辺のアカウントで一つでも通ると、被害は一気に深くなります。

実務では、弱い共通パスワードの排除、横断ログ監視、多要素認証の例外解消、成功後の短時間封じ込め、そして外から見えるログイン面の棚卸しを同時に進める必要があります。検知だけでなく、試される条件そのものを減らす設計が再発防止に効きます。

特に 2024 年の共同勧告が示した通り、この手口は今も重要インフラやクラウド基盤への入口として使われています。つまり「古いが単純な攻撃」ではなく、弱い共通パスワード、公開認証面、例外アカウントが残る組織なら今でも成立する現実的な脅威です。

結論として、守る側が先にやるべきことは、個人の失敗回数を数えることより、どこが外から見え、どの例外アカウントが深い権限へ届き、どの単発失敗が横断試行へつながっているかを把握することです。認証強化と公開面整理を同じ改善サイクルへ戻せば、パスワードスプレー攻撃の成立条件を着実に減らせます。