パスワードスプレーとは何ですか?また、パスワードスプレーに対してパスワードを保護する方法は?

Password Spraying

私たちがアカウントのセキュリティについて話しているとき、私たちは通常、パスワードについて話します。なぜなら、あなたのパスワードが危険にさらされると、あなたのアカウントが危険にさらされると人々はしばしば思うからです。しかし、それは完全に真実ではありません。パスワードを持っていたとしても、ハッカーは、ほとんどのログインフォームで入力した他の情報(ユーザー名)なしでは侵入できません。ユーザーは、ユーザー名がどれほど重要であるかを理解していません。しかし、ハッカーはそうします。それが彼らがパスワードスプレーと呼ばれる攻撃を思いついた方法です。

パスワードは何?!

通常、詐欺師がアカウントを侵害したい場合は、ユーザー名(多くの場合は電子メールアドレス)を取得し、さまざまなパスワードと組み合わせて使用します。彼らは、一般的なパスワードの長いリスト、またはランダムに文字を混ぜるアルゴリズムに依存する自動化ツールを使用します。これは典型的なブルートフォース攻撃で、犯罪者はすでにユーザーを特定しており、パスワードを見つけるだけで済みます。

パスワードスプレー攻撃では、その逆です。彼らは、少なくとも1人のユーザーが指定されたパスワードを使用したことを知っています(というよりは、仮定します)。彼らはその人が誰であるかを知る必要があります。そのためには、2つのリストが必要です。1つはパスワード付き、もう1つはユーザー名付きです。パスワードのリストは、従来の総当たり攻撃の場合よりもはるかに短く、そのエントリは関連する必要があります(たとえば、Amazonユーザーに攻撃を仕掛ける場合、ハッカーは「amazon 「パスワードリストの上部近くにあります)。ユーザー名に関しては、収集方法はターゲットによって異なります。

詐欺師はリストの最初のパスワード(「amazon」など)を取得し、すべての異なるユーザー名と組み合わせて試してみます。次に、2番目のパスワードを取得して同じ操作を行います。ターゲットに応じて、目標はできるだけ多くのユーザーを侵害するか、詐欺師がシステムにさらに侵入する機会を与える1つのアカウントに侵入することです。

ハッカーはパスワードスプレーをいつ使用しますか?

公平に言うと、Amazonアカウントのパスワードとして「amazon」を絶対に使用してはなりませんが、大規模なオンラインプラットフォームに対するパスワードスプレー攻撃はほとんどありません。多くの人がひどく単純なパスワードを使用しているのは事実ですが、それらのパスワードの1つを取得し、それを何百万もの電子メールアドレスで試してみる意味はほとんどありません。

たとえば、データ漏えい事件の際に漏洩したデータベースを取得し、資格情報のスタッフィング攻撃を試すのははるかに簡単です。データダンプが漏洩していなくても、ほぼ無制限の数のユーザー名を使用できるため、パスワードを推測するのがはるかに実用的なアプローチになります。

ただし、エンタープライズ環境では、状況は大きく異なります。通常、組織では、すべてのアカウントでログイン試行に失敗する回数は限られています。つまり、ハッカーは正しい組み合わせを推測するために、何万もの異なるパスワードで1つのメールアドレスを試すことはできません。ロックアウトメカニズムは、一致するものを見つけることができるずっと前に開始される可能性があります。

同時に、会社では、従業員の数がそれほど多くないため、特定の(それほど多くない)数の従業員がいるため、可能なユーザー名はそれほど多くありません。多くの場合、それらの入手は、About Usページを開くのと同じくらい簡単です。また、パスワードに関しては、誰が侵害しようとしているのかを知っているため、ハッカーはより知識に基づいた推測を行うことができます。たとえば、彼らがNikeを攻撃している場合、「ジャストドゥイット!」が含まれる可能性が高くなります。たとえば、「adidas-rocks!」ではなく、パスワードリストで。

突然、パスワードスプレー攻撃がはるかに意味を持ち始め、それからあなた自身とあなたの会社を保護することが必要になります。

パスワードスプレー攻撃の成功を防ぐ

多くの企業で使用されているID管理システムであるAzure ADの開発者であるMicrosoftは、3月にパスワードスプレー攻撃の数が増加し、システム管理者が企業のシステムを強化するのに役立つヒントのリストをまとめました侵入を防ぎます。

既に推測したかもしれませんが、パスワードスプレー攻撃を防ぐためにできることはたくさんあります。オフィスの外からのアクセスを制限し、ログイン試行の失敗が多すぎるIPをロックアウトし、侵入テストチームを雇ってあなたの状態を評価します会社のITインフラストラクチャなど。ただし、すべてのユーザーに多要素認証を実装し、より複雑なパスワードを使用するという、ジョブを実行できる簡単な手順がいくつかあります。

パスワードスプレー攻撃は、人間によって作成されたパスワードの推測に依拠していることを忘れないでください。私たちが他の多くの記事で確立しているように、人間は推測しにくいパスワードを作成するのが得意ではありません。明白で単純なパスワードを禁止し、理想的には、複雑なパスワードを作成するだけでなく、保存するパスワードマネージャーを使用するようユーザーに強制します。

多要素認証は、パスワードスプレー攻撃を阻止できるもう1つの単純なメカニズムです。ユーザー名とパスワードの正しい組み合わせを使用しても、追加の情報が必要な場合、ハッカーは侵入できません。優れたID管理システムには、さまざまな多要素認証メカニズムがあります。システム管理者が行う必要があるのは、それらをチェックアウトし、どれが自分のニーズに最適かを確認することです。

パスワードスプレーは多くの作業のように思えるかもしれませんが、1つのアカウントを侵害するとハッカーがシステム全体を移動できるエンタープライズ環境について話していることを忘れないでください。そのため、脅威を過小評価すべきではなく、必要な予防措置を講じる必要があります。

January 10, 2020