許可されていないアカウントへのアクセスを得るために最も一般的に使用される2つの方法は、(a) ブルートフォース攻撃と(b) パスワードスプレー攻撃です。ブルートフォース攻撃については以前に説明しました。この記事ではパスワードスプレー攻撃に焦点を当てます。パスワードスプレー攻撃とは何か、そしてそのような攻撃から身を守る方法について説明します。
パスワードスプレー攻撃の定義
パスワードスプレー攻撃はブルートフォース攻撃とは正反対です。ブルートフォース攻撃では、ハッカーは脆弱なIDを選択し、パスワードを次々と入力して、パスワードのいくつかがログインを許可することを期待します。基本的に、ブルートフォースは多くのパスワードをわずか1つのIDに適用します。
パスワードスプレー攻撃の場合、複数のユーザーIDに1つのパスワードが適用されるため、少なくとも1つのユーザーIDが侵害されます。パスワードスプレー攻撃の場合、ハッカーはソーシャルエンジニアリングやその他のフィッシング方法を使用して複数のユーザーIDを収集します。ユーザーの少なくとも1人は、12345678やp@ssw0rdなどの単純なパスワードを使用していることがよくあります。この脆弱性(または強力なパスワードを作成する方法に関する情報不足)はパスワードスプレー攻撃で悪用されます。
パスワードスプレー攻撃では、ハッカーは収集したすべてのユーザーIDに慎重に作成されたパスワードを適用します。運が良ければ、ハッカーは1つのアカウントにアクセスして、そこからコンピューターネットワークにさらに侵入することができます。
パスワードスプレー攻撃は、組織内の複数のユーザーアカウントに同じパスワードを適用して、それらのアカウントの1つへの不正アクセスを確保することと定義できます。
ブルートフォース攻撃とパスワードスプレー攻撃
ブルートフォース攻撃の問題点は、異なるパスワードで一定回数試行するとシステムがロックダウンされる可能性があることです。たとえば、サーバーを3回のみ試行を受け付け、それ以外の場合はログインが行われているシステムをロックダウンするように設定した場合、システムは3回の無効なパスワード入力だけでロックダウンされます。3回を許可する組織もあれば、最大10回の無効な試行を許可する組織もあります。多くのWebサイトは現在このロック方法を使用しています。この予防策は、ブルートフォース攻撃ではシステムのロックダウンが管理者に攻撃を警告するため、問題となります。
これを回避するために、ユーザーIDを収集し、それらに考えられるパスワードを適用するという考えが生まれました。パスワードスプレー攻撃でも、ハッカーは特定の予防措置を実践しています。たとえば、すべてのユーザーアカウントにpassword1を適用しようとした場合、最初のラウンドを終えてすぐにpassword2をそれらのアカウントに適用することはありません。ハッキングの試行の間には少なくとも30分の間隔を置きます。
パスワードスプレー攻撃からの保護
ブルートフォース攻撃とパスワードスプレー攻撃の両方を途中で阻止できます。関連するセキュリティポリシーが整備されている場合です。30分のギャップが残されている場合、そのための条項が設けられていると、システムは再びロックダウンされます。ログイン間の時間差を追加するなど、他の特定のことも適用できます。それが数分の1秒の場合、2つのユーザーアカウントがログインするのにかかる時間を増やします。このようなポリシーは管理者に警告を発信するのに役立ち、管理者はサーバーをシャットダウンするかロックダウンして、データベースで読み取り書き込み操作が行われないようにすることができます。
組織をパスワードスプレー攻撃から保護するための最初のステップは、従業員にソーシャルエンジニアリング攻撃、フィッシング攻撃、およびパスワードの重要性について教育することです。そうすることで、従業員はアカウントに予測可能なパスワードを使用しません。もう1つの方法は、管理者がユーザーに強力なパスワードを提供し、注意する必要があることを説明して、パスワードを書き留めてコンピューターに貼らないようにすることです。
組織のシステムの脆弱性を特定するのに役立つ方法がいくつかあります。たとえば、Office 365 Enterpriseを使用している場合は、攻撃シミュレーターを実行して、従業員の誰かが弱いパスワードを使用しているかどうかを確認できます。
コメントする