JPCERT コーディネーションセンター(JPCERT/CC)は4月4日、不正ログインを狙った「パスワードスプレー」攻撃への注意を呼び掛けた。多要素認証の活用や推測困難なパスワードの使用といった対策の強化を推奨している。
パスワードスプレー攻撃は、IDやパスワードなどの組み合わせを総当たりで試す「ブルートフォース」攻撃の一種で、一定の回数や期間内にログインエラーが発生するとアカウントがロックされるセキュリティ対策を回避する手法。「low-and-slow」攻撃とも呼ばれる。複数のアカウントに対して同時に1つのパスワードを試行してから次のパスワードを試すといった方法で、アカウントがロックされる事態を避けることにより、不正ログインを検知されないようにする。
「パスワードスプレー」攻撃でのログイン試行パターンのイメージ(出典:日本マイクロソフト)
米国では3月下旬、数百校の大学のシステムに不正侵入し、膨大な機密情報を窃取したとして、司法省が9人のイラン人を訴追した。3月27日の米国土安全保障省(DHS)の発表によれば、訴追された被疑者グループは、不正侵入にパスワードスプレー攻撃を用いたとされる。
DHSの解説によると、一般的にパスワードスプレー攻撃は、認証連携プロトコルを使用するシングルサインオン(SSO)やクラウドサービスなどのウェブアプリケーションを標的にする。その理由は、不正行為が検知されにくいことに加え、いったん不正ログインに成功すれば、さらなる認証情報や正規ユーザーのコンテンツデータを盗み取ることができるためという。
例えばクラウド型のメールサービスでは、パスワードスプレー攻撃に成功した攻撃者が、保存されている正規ユーザーのメールデータやアドレス帳のデータを不正に入手したり、送受信されるメールを攻撃者の手元に転送するよう設定を変更したりする。
パスワードスプレーを用いた具体的な攻撃シナリオとしては、(1)なりすましによるフィッシング攻撃やネット上に公開されているSNSなどのプロフィール情報から標的の組織やユーザーを決めて実行する、(2)推測しやすいパスワードとツールを使って、SSOやウェブアプリケーションの認証連携を使用しているユーザーのアカウントを狙う、(3)脆弱なアカウントのメールクライアントから入手したアドレスデータを使ってより大規模な攻撃を実行する、(4)システムへの侵入後にネットワーク上を探索し、ファイル転送ツールなどで大量のデータを持ち出す――などがある。
また、パスワードスプレー攻撃の被害者に見られる特徴には、以下の点があるという。
- 認証連携でSSOやウェブアプリケーションを使用している
- 多要素認証に不備がある
- 推測されやすいパスワードを使っている(例:passward1234など)
- 同期機能などを使ってクラウドからローカルに受信メールをダウンロードできるようにしている
- ユーザーレベルでメール転送を行える
- 調査などで必要となる十分なログが確保されていない
