パスワードへの依存がもたらす致命傷
T1110 ブルートフォースパスワードは「人間の記憶力に依存する」という本質的な欠陥を抱えており、攻撃者にとって最も費用対効果の高い侵入経路です。 攻撃者の間でよく言われるのが、**「システムそのものをハッキングする必要はない。正しい鍵でログインするだけだ」**という発想です。企業ネットワークの境界は多層防御によって強固に見えても、合法的な認証情報さえ手に入れれば、一切のエクスプロイトなしに VPN や Microsoft 365 テナントへ堂々と侵入できます( TA0006 認証情報アクセス )。
攻撃ポートフォリオ:オンラインとオフライン
パスワードへの攻撃は、ネットワーク越しにログイン画面を直接叩く「オンライン攻撃」と、盗み出したハッシュ値を手元で解析する「オフライン攻撃」に大別されます。前者は検知リスクとロックアウトという壁があり、後者は一度ハッシュさえ入手すればアカウントロックなしで無制限に解析できます。
オンライン攻撃の代表的な手法
オンライン攻撃の最大の障壁は、「アカウントロックアウト(例:5回失敗で30分停止)」と「WAF/IP制限」です。
| 手法 | 攻撃モデル | WAF/SIEMの検知性 | 防御側の対抗策 |
|---|---|---|---|
| ブルートフォース | あらゆる文字の組み合わせ(a、b、...、aA1!)を機械的にログインAPIへ投げ続ける。 | 極めて容易(同一IPからの大量の401エラーが即座に検知される)。現代では即BANが基本。 | IPの動的ブロック、Fail2Ban、CAPTCHA(ボット判定)の導入。 |
| 辞書攻撃 | RockYou.txt などの既知の漏洩パスワードリストや頻出単語に絞って試行する。 | 比較的容易(試行回数はブルートフォースより少ないが、ロックアウト閾値に引っかかりやすい)。 | NIST推奨の「漏洩パスワード再利用禁止フィルター(Have I Been Pwned API 連携)」の実装。 |
| パスワードスプレー(Password Spraying) | 10,000人の社員IDに対して「Spring2026!」という季節+年のパスワード1つだけを広く浅く試す。誰か一人でも引っかかれば侵入完了。 | 困難(各IDにつき1回しか失敗しないため、ログ上は『単純な打ち間違い』と区別がつかない)。 | SIEMでの横断的な失敗ログ監視。地理的な異常ログインを加味した[リスク](/glossary/risk/)ベース認証の実施。 |
現場のレッドチームが最も多用するのはパスワードスプレーです。従来のブルートフォースや辞書攻撃とは異なり、「1アカウントに対して1回しか試さない」ため、ロックアウトを回避しながら静かに侵入できます。
オフライン攻撃と専用ツール群
ひとたびデータベースが侵害され「パスワードハッシュ」が流出すると、攻撃者は手元の強力な GPU クラスタを使って、アカウントロックなしで無制限に解読を試みます。
- Hashcat: 現代のパスワードクラッカーのデファクトスタンダード。NVIDIA RTX 4090 を複数台積んだリグであれば、古いハッシュアルゴリズム(MD5 や NTLM)は秒間1,000億回以上の速度で総当たり可能です。
- John the Ripper: CPU ベースの高速クラッキングやカスタムルール記述に優れた歴史的なツール。Hashcat と使い分けることが多い。
- レインボーテーブル: ハッシュ値と平文の対応表をあらかじめ生成しておき、逆引き(ルックアップ)だけでパスワードを瞬時に特定する手法。計算コストがほぼゼロなのが特徴。ただし**ソルト(Salt:ランダムな値の付与)**によって完全に無効化できます。
パスワードの強度(エントロピー)を決めるのは、複雑な記号よりも**「長さ(文字数)」です。
P@ssw0rd!(8文字、記号入り)は Hashcat を使えば数秒で解読されます。一方、correct-horse-battery-staple(28文字、英小文字のみ)のような無作為な4単語を組み合わせたパスフレーズ**は、総当たりに必要な組み合わせ数が天文学的に膨れ上がり、現実的な時間では解読不能になります。重要なのは、辞書攻撃を防ぐため「日常的に意味が通じる文章」ではなく「ランダムな単語の羅列」にすることです。
現代の主役:クレデンシャルスタッフィングの脅威
**クレデンシャルスタッフィング(Credential Stuffing)**は、過去のデータ侵害でダークウェブに流通している「本物のID(メールアドレス)とパスワードのセット(コンボリスト)」を、全く別のサービス(Netflix、銀行、社内システムなど)のログイン画面に大量に流し込む攻撃です。
パスワードの「使い回し」が招く連鎖被害
Verizon の「2024 Data Breach Investigations Report(DBIR)」によれば、一般ユーザーの過半数が「同じパスワードを複数サービスで使い回している」という実態があります。ある脆弱なオンラインフォーラムから漏洩した認証情報が、メガバンクや EC サイトのログインにそのまま成功してしまう — これがスタッフィング攻撃の恐ろしさです。
住宅用プロキシ(Residential Proxies)による WAF 回避
クレデンシャルスタッフィングが防ぎにくい最大の理由は、攻撃者が「ボットネット(マルウェアに感染した一般家庭のPCやルーター)」を中継してアクセスしてくる点にあります。
攻撃者のC2サーバー → (数十万の一般家庭IPアドレス:住宅用プロキシ) → 標的のログイン画面AWS や Tor からの通信であれば WAF でブロックできます。しかし攻撃元が「一般家庭のプロバイダや正規のスマートフォン回線」のIPアドレスから来るため、正規ユーザーのログインと見分けがつきません。デバイスフィンガープリンティングや行動分析(入力速度の異常など)を組み合わせた多角的な検知が求められます。
防御側のパラダイムシフト(NIST SP 800-63B)
攻撃の激化に伴い、米国国立標準技術研究所(NIST)はパスワードポリシーの根本的な転換を盛り込んだ「デジタルアイデンティティガイドライン SP 800-63B」を発表しています。日本国内の多くの組織がいまだに古い慣行を続けている現状は、攻撃者にとって追い風です。
| 過去のレガシーな常識 | 現代のベストプラクティス(NIST推奨) | 理由 |
|---|---|---|
| 定期的な変更(90日ごと) | 漏洩が確認された時のみ変更を要求 | 定期変更を強いると Password01! → Password02! のように末尾を変えるだけになり、かえって強度が低下する。MicrosoftやUK NCSCも定期変更の廃止を明言。 |
| 複雑性ルール(大文字・小文字・数字・記号を必ず含める) | 長さを重視する(最低8文字、できれば15文字以上を推奨) | 機械的な複雑化はパスワードの使い回しを助長する。長いパスフレーズを推奨。 |
| パスワードのヒントを表示 | ヒント機能を全廃止 | ヒントの質問(「母の旧姓は?」等)はOSINTによる推測を攻撃者に与えるだけで、ソーシャルエンジニアリングの格好の材料になる。 |
恒久的な解決策
- パスワードマネージャーの企業導入(Enterprise Password Manager):
人間の脳から「パスワードを記憶する」という負担を完全に取り除き、すべてのサービスにユニークでランダムな長いパスワード(例:
hA7#pM9@qL2$wE4!のような20文字)を使わせることで、クレデンシャルスタッフィングの連鎖を物理的に断ち切ります。 - 多要素認証(MFA)の義務化: 万が一パスワードが漏洩しても、第2要素のワンタイムパスワードやFIDO2ハードウェアキーがなければ遠隔からのアクセスをブロックできます。特に VPN やクラウド管理コンソールへの MFA は、最優先で導入すべき対策です。
【確認問題】過去のデータ侵害データベース(コンボリスト)から入手した本物のIDとパスワードのセットを使い、住宅用プロキシを経由して全く別のサービスへ大量のログイン試行を行う攻撃手法を何と呼びますか?