パスワードスプレー攻撃|情報処理安全確保支援士試験 令和4年秋期午前Ⅱ 問6
出典:令和4年秋期 午前Ⅱ 問6
分野:セキュリティ / 情報セキュリティ
パスワードスプレー攻撃に該当するものはどれか。
- ア:攻撃対象とする利用者IDを一つ定め,辞書及び人名リストに掲載されている単語及び人名並びにそれらの組合せを順にパスワードとして入力して,ログインを試行する。
- イ:攻撃対象とする利用者IDを一つ定め,パスワードを総当たりして,ログインを試行する。
- ウ:攻撃の時刻と攻撃元IPアドレスとを変え,かつ,アカウントロックを回避しながらよく用いられるパスワードを複数の利用者IDに同時に試し,ログインを試行する。
- エ:不正に取得したある他のサイトの利用者IDとパスワードとの組みの一覧表を用いて,ログインを試行する。
TSUNAGARU-ADVICE
まず押さえたいこと
パスワードスプレー攻撃は、一つの利用者IDに多数のパスワードを試すのではなく、よく使われる同じパスワードを複数の利用者IDに対して試す攻撃です。
迷ったときの判断軸
辞書攻撃やブルートフォース攻撃は、一つのアカウントに対して多くのパスワードを試すイメージです。一方、パスワードスプレー攻撃は、アカウントロックを避けるために、複数アカウントへ少数のありがちなパスワードを広く試す点で見分けます。
科目Bにつなげるために
科目Bでは、不正ログイン対策として、攻撃手法ごとの試行パターンを読み取ることがあります。パスワードスプレー攻撃では、単一IDの連続失敗だけでなく、複数IDに対する同一・類似パスワードの低頻度な試行にも注目する必要があります。
パスワードスプレー攻撃は、多くの利用者IDに対して、よく使われるパスワードを少しずつ試す攻撃です。
通常の総当たり攻撃のように、1つのIDに何度もパスワードを試すと、アカウントロックに引っかかりやすくなります。そこでパスワードスプレー攻撃では、「password」「123456」「会社名+年」など、ありがちなパスワードを用意し、複数のIDに広く浅く試します。
攻撃の流れは、次のとおりです。
この攻撃は、一見すると「正規ユーザーがパスワードを間違えただけ」に見えやすいため、検知が難しい点が特徴です。そのため、ローアンドスロー攻撃とも呼ばれます。
対策としては、推測されにくいパスワードを設定することや、多要素認証を導入することが有効です。また、ログイン失敗のログを収集・分析し、複数IDに対して同じような失敗が発生していないか確認することも重要です。
ログの分析には、SIEMのようにログを集めて異常を検知する仕組みや、CASBのようにクラウドサービスの利用状況を可視化する仕組みが役立ちます。
つまりパスワードスプレー攻撃は、「1つのIDに集中せず、多くのIDにありがちなパスワードを少しずつ試す攻撃」と考えると分かりやすいです。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:攻撃対象とする利用者IDを一つ定め,辞書及び人名リストに掲載されている単語及び人名並びにそれらの組合せを順にパスワードとして入力して,ログインを試行する。
⇒辞書攻撃の説明です。一つの利用者IDに対して、辞書や人名リストに含まれる語句を順に試す攻撃であり、複数の利用者IDに同じパスワードを広く試すパスワードスプレー攻撃とは異なります。
イ:攻撃対象とする利用者IDを一つ定め,パスワードを総当たりして,ログインを試行する。
⇒ブルートフォース攻撃の説明です。一つの利用者IDに対して、考えられるパスワードを総当たりで試す攻撃であり、アカウントロックを避けるために試行回数を分散させるパスワードスプレー攻撃とは異なります。
エ:不正に取得したある他のサイトの利用者IDとパスワードとの組みの一覧表を用いて,ログインを試行する。
⇒パスワードリスト攻撃の説明です。他サイトから流出したIDとパスワードの組合せを使ってログインを試す攻撃であり、よく使われるパスワードを複数IDに試すパスワードスプレー攻撃とは異なります。