この記事のポイント
- パスワードスプレー攻撃は、流出済み ID / パスワード組の再利用ではなく、少数の弱いパスワードを多数アカウントへ低速で試す点が主役です。
- 危険なのは、アカウントロックを避けやすく、管理者、委託先、single sign-on(SSO)やクラウド管理面のアカウントへ薄く広く試されることです。
- ASM診断 PRO は認証製品の代替ではありませんが、外から見えるログイン URL、古い portal、委託先導線、残存した接続先の棚卸しに役立ちます。
まず無料で確認する
無料でASM診断を開始
パスワードスプレー攻撃で触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
パスワードスプレー攻撃とは何か
パスワードスプレー攻撃は、少数の弱いパスワードを多数アカウントへ薄く広く試し、目立つ連続失敗を避けながら侵入を狙う攻撃として捉えると理解しやすくなります。
一つの弱いパスワードを、多数アカウントへ低速で試す攻撃です
パスワードスプレー攻撃は、少数のよくあるパスワードを、多数のアカウントへ薄く広く試す攻撃です。CISA のBrute Force Attacks Conducted by Cyber Actorsは、この手口を「多くのアカウントに対し、一般的に使われる一つのパスワードを試すことで、急激な lockout を避ける攻撃」と整理しています。
ここで重要なのは、攻撃者が大量の候補を一つのユーザーへ打ち込むのではなく、一つの候補を多数ユーザーへ分散して試すことです。そのため、個別アカウントだけを見ると「たまに失敗しているだけ」に見え、見逃しやすくなります。
クレデンシャルスタッフィングや一般的な総当たりとは前提が違います
クレデンシャルスタッフィングは、漏えい済みの ID / パスワード組をそのまま再利用する攻撃です。一方でパスワードスプレー攻撃は、認証情報の漏えいペアを前提とせず、『Summer2026!』のような共通で弱い候補を多数アカウントへ試す点が違います。
いわゆる一般的な総当たりは、一つのアカウントに対して多数候補を連続試行するイメージに近いですが、パスワードスプレー攻撃は目立たない速度で、横断的にアカウントをなぞるため、ロックアウトだけを頼りにした防御では止めにくくなります。
single sign-on(SSO)や管理者系アカウントが主戦場になりやすい手口です
2024 年 10 月の joint advisoryIranian Cyber Actors’ Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizationsでは、Iranian actors が Microsoft 365、Azure、Citrix などへpassword spraying を含む brute force で侵入し、その後に追加認証登録変更や discovery を進めたと整理されています。
つまり、危険なのは一般利用者アカウントの件数だけではありません。管理者、委託先、ヘルプデスク、single sign-on(SSO)周辺のアカウントで一つでも通ると、メール、クラウド管理面、社内ポータル、外部接続点の調査へ連鎖しやすいのがこの攻撃の本質です。
なぜ成立するのか、どこが盲点になるのか
| 盲点 | なぜ成立しやすいか | 企業側の弱点 |
|---|---|---|
| 弱い共通パスワードがまだ残っている | 一つの候補が多数アカウントに通る可能性があるためです。 | 禁止パスワードや派生語制御が弱い |
| アカウントロックを一人単位でしか見ていない | 多数アカウントへ分散されると、個別 lockout が起きにくいためです。 | 横断相関の監視が弱い |
| 管理者、委託先、ヘルプデスクの例外が残っている | 一つ成功するだけで深い権限に到達しやすいためです。 | 高権限アカウント棚卸しが不十分 |
| 古い portal や legacy 認証が外から見えている | 試せる入口が多いほど、薄く広い試行を仕掛けやすいためです。 | 公開ログイン面の棚卸しが弱い |
| 成功後の初動が遅い | 一つの成功がメール、RDP、管理画面へ広がるためです。 | セッション失効と権限確認の標準化が弱い |
『よくあるパスワード』が残る組織ほど、攻撃者にとって効率が良くなります
パスワードスプレー攻撃は、漏えい済み認証情報のような大量データを必須としません。代わりに、季節語、社名、製品名、年号、役割名が混ざった弱い候補を多数アカウントへ当てます。Microsoft Learn のPassword protection in Microsoft Entra IDは、世界共通の banned password と組織固有の custom banned password を組み合わせて、この種の弱い候補を減らす前提で設計されています。
つまり企業側で見るべきなのは、「長さ 8 文字以上か」より、推測されやすい共通候補をどこまで排除できているかです。長さだけのルールでは、季節語や社名入りの派生を十分に止められません。
アカウントロックだけに頼ると、low-and-slow の試行を見逃します
CISA の 2018 alert が今も重要なのは、攻撃者がrapid or frequent account lockouts を避けるために、多数アカウントへ分散すると早くから指摘しているからです。つまり、個々のユーザー失敗回数だけを見る運用では、見逃しやすい構造が最初からあります。
Microsoft Learn のWhat are risk detections?でも、password spray は「正しいパスワードが試された形跡」を伴う risk detection として扱われています。これは、アカウント単位の失敗だけでなく、横断的な試行パターンを見る必要があることを示しています。
外から見えるログイン面が多いほど、試される条件が増えます
パスワードスプレー攻撃は認証技術の問題に見えますが、実務ではどれだけ試行先が外から見えているかも重要です。古い会員 portal、移行前の login URL、残存した Citrix や VPN、外部委託の入口、single sign-on(SSO)前段の公開面が多いと、それだけ攻撃者に「静かに試せる場所」を与えます。
そのため、外部接続点の可視化と認証監視は別テーマではありません。試される面を減らさない限り、検知だけでは攻撃回数を減らせません。
企業で何が起きるのか、どこまで被害が広がるのか
同じ時間帯に多数アカウントで単発失敗が出ている
一人ずつでは目立たない低速試行が横断的に走っている可能性があるためです。
1つの IP や地域から複数アカウントへ試行が広がる
CISA も 2024 advisory で、複数アカウントに対する brute force / password spraying を重視しているためです。
関連: EDR未導入と監視不足一つの成功が、メール、管理面、横移動の入口になることがあります
パスワードスプレー攻撃は、失敗ログだけ見ると地味ですが、一つ成功した瞬間に被害の質が変わります。管理者、ヘルプデスク、委託先アカウントなら、メール、クラウド管理面、サポート導線、RDP、設定変更へ進みやすくなります。
2024 年の CISA joint advisory でも、侵入後に discovery、追加 credential access、RDP、MFA 登録変更が続いたと整理されています。つまり、password spraying は単なる login nuisance ではなく、後続の権限拡大や横移動の前段として扱う必要があります。
委託先や共有運用のアカウントが残ると、一般利用者より重くなります
実務で本当に危険なのは、一般利用者アカウントの件数より、高権限者や委託先の固定運用が残っていることです。共有 ID、移行中の例外、期限のない外部委託 ID は、一つ通るだけで管理系操作に届きやすくなります。
そのため、password spraying 対策は「ログイン API の bot 防御」だけで閉じません。誰のアカウントが何に触れられるか、どこに例外が残っているかまで含めて設計しないと、入口だけを止めて下流を残す形になります。
クレデンシャルスタッフィングと違い、漏えい元が見えなくても成立します
クレデンシャルスタッフィングは、漏えい済みの ID / password の組を前提にするため、「どこかで漏れたものが再利用された」と理解しやすい手口です。一方でパスワードスプレー攻撃は、共通で弱いパスワードの存在だけで成立するため、漏えい元が特定できなくても被害が起きます。
だからこそ、組織側は「漏えいしていないはずだから大丈夫」と考えず、弱い共通パスワード、外から見えるログイン面、成功後の初動を別々ではなく同じ問題として扱う方が実務に効きます。
企業が優先してやるべき対策
パスワードスプレー攻撃は、CAPTCHA や account lockout だけで終わるテーマではありません。公開面の棚卸し、弱い共通パスワードの排除、横断ログ監視、成功後の封じ込めまでを同じ流れで設計する必要があります。
公開ログイン面と、高リスクアカウントを棚卸しする
管理画面、single sign-on(SSO)画面、古い会員ポータル、VPN、Citrix、委託先アカウント、ヘルプデスク権限など、どこが試行先になり得るかを先に見える化します。
試行先の明確化弱い共通パスワードと、例外認証を減らす
よくあるパスワード、季節語や社名入りの派生、共有 ID の固定パスワード、MFA 例外を減らし、Microsoft Entra Password Protection などの禁止語ルールも活用します。
認証の底上げアカウント単位ではなく、横断パターンで検知する
一つのユーザーだけを見るのではなく、1 IP から複数アカウントへ低速で失敗が広がる動き、地域不整合、時間帯の偏り、成功前後の不自然さをまとめて見ます。
low-and-slow の可視化ログイン成功後の影響拡大を短く切る
不審成功が出たら、セッション失効、追加認証、管理者権限確認、メールやクラウド管理面の二次確認、委託先アカウントの見直しまで即時に進めます。
被害拡大の抑制月次レビューで古い導線と残存アカウントを減らす
不要なログイン URL、古い portal、残存した委託先 ID、例外運用、legacy 認証を定期見直しし、攻撃者が試しやすい面そのものを減らします。
再発防止の定着最初にやるべきは、弱い共通パスワードを減らすことです
Microsoft Learn のPrevent attacks using smart lockoutや password protection の資料は、単に回数制限をかけるだけでなく、弱い候補そのものを使わせないことを前提にしています。社名、季節、製品名、役割名、年号を混ぜた派生は、長さ条件だけでは残りがちです。
まずは管理者、委託先、ヘルプデスク、共有運用のアカウントから、禁止パスワードと強い認証へ寄せることが出発点です。ここが弱いままだと、検知しても次の週に同じ攻撃が戻ります。
検知は『一人の失敗回数』ではなく『横断パターン』で見る必要があります
Microsoft Entra ID Protection は、password spray を risk detection として扱い、正しい password が試されたサインも含めて見ます。実務でも、1 IP から複数アカウントへ広がる失敗、地域不整合、短時間の成功切り替わりを束ねて見る方が有効です。
ここが弱いと、個別アカウントでは「1 回失敗しただけ」に見える low-and-slow を取りこぼします。監視不足の課題と同じで、異常があるかではなく、どの単発イベントがつながると攻撃になるかを見なければいけません。
MFA と外部公開棚卸しを一緒に進めないと、試される条件が残ります
MFA は有効ですが、MFA未適用アカウントで整理したように、例外が残れば防御層の穴になります。同時に、古い portal やログイン URL が外から見えていると、攻撃者は別の入口から試行を続けます。
そのため、認証製品の設定変更と並行して、どの login 面がまだ外から見えているかを減らす必要があります。認証だけ強くしても、試行先が多ければ運用負荷は下がりません。
成功後の初動を短くしないと、別の事故へつながります
password spraying はログイン成功が始まりで、その後に discovery、追加 credential access、RDP、メール悪用へつながることがあります。したがって、成功が出たらセッション失効、追加認証、管理者権限確認、関連導線の棚卸しまで短く回す必要があります。
ここが遅いと、横移動や送金詐欺の入口になります。つまり、password spraying 対策は認証だけで完結せず、侵入後封じ込めまで含めて設計するのが自然です。
パスワードスプレー攻撃の試行先を減らすなら ASM診断 PRO
ASM診断 PRO は、外から見える login URL、管理画面、staging、古い portal、委託先導線などの公開面を外側から棚卸しする起点として使えます。
ASM診断 PRO は、identity protection 製品や認証基盤の代替ではありません。ただし、password spraying 対策で見落とされやすい「外から試される login 面がどれだけ残っているか」を整理する入口として使いやすい構成です。
特に、古い会員 portal、残存した staging、委託先向け管理面、放置された接続先、single sign-on(SSO)前段の公開導線を外側から棚卸しできると、どこが試行先になり得るか、どこを優先して閉じるべきかを決めやすくなります。認証製品だけで守るのではなく、試される面そのものを減らす判断につなげやすくなります。
次のアクション
公開ログイン面や古い portal を棚卸しするなら ASM診断 PRO
外部公開資産の現状を無料で確認し、login URL、管理画面、staging、委託先導線など、パスワードスプレー攻撃の試行先になりやすい公開面を洗い出してください。
よくある質問
パスワードスプレー攻撃とクレデンシャルスタッフィングの違いは何ですか?
パスワードスプレー攻撃は、少数のよくあるパスワードを多数アカウントへ低速で試す攻撃です。クレデンシャルスタッフィングは、漏えい済みの ID / password の組をそのまま別サービスへ再利用する攻撃で、攻撃前提が異なります。
アカウントロックを入れていれば十分ですか?
十分ではありません。パスワードスプレー攻撃は、個別アカウントの rapid lockout を避けるように分散・低速で試されるためです。横断ログ監視と弱い共通パスワード排除も必要です。
どのアカウントが特に危険ですか?
管理者、委託先、ヘルプデスク、single sign-on(SSO)周辺、メール管理、クラウド管理面に届くアカウントが特に危険です。一つ成功するだけで被害の広がり方が大きく変わります。
MFA を入れていれば止められますか?
有効ですが十分条件ではありません。例外アカウント、弱い承認方式、legacy 認証、成功後の初動遅れが残ると被害は成立します。公開ログイン面の棚卸しも必要です。
ASM診断 PRO はこの攻撃対策にどう役立ちますか?
ASM診断 PRO は認証そのものを止める製品ではありませんが、外から見える login URL、古い portal、管理面、委託先導線を棚卸しし、試される公開面を減らす判断を支援できます。
まとめ
パスワードスプレー攻撃対策は、弱い共通パスワード排除、横断ログ監視、強い認証、成功後初動、公開面整理を重ねて運用すると、low-and-slow の試行が成立する条件そのものを減らしやすくなります。
パスワードスプレー攻撃は、少数の弱い共通パスワードを多数アカウントへ低速で試し、目立つ lockout を避けながら侵入を狙う手口です。漏えい済み認証情報がなくても成立し、管理者、委託先、single sign-on(SSO)周辺のアカウントで一つでも通ると、被害は一気に深くなります。
実務では、弱い共通パスワードの排除、横断ログ監視、MFA 例外解消、成功後の短時間封じ込め、そして外から見える login 面の棚卸しを同時に進める必要があります。検知だけでなく、試される条件そのものを減らす設計が再発防止に効きます。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
パスワードスプレー攻撃の基本定義と、lockout 回避の考え方の確認に使用。
最近の brute force / password spraying 事例と、侵入後の流れの確認に使用。
password spray を risk detection としてどう扱うかの確認に使用。
弱い共通パスワードと禁止パスワード制御の整理に使用。
account lockout だけに頼らない設計と、Smart Lockout の前提確認に使用。