パスワードスプレー攻撃とは何ですか？

多数のアカウントに対してよく使われるパスワードを少しずつ試す攻撃手法。アカウントロックアウトを巧みに回避する。

パスワードスプレー攻撃のポイントは？

1つのパスワードを多数のアカウントに試し、失敗したら次のパスワードに移る攻撃。ブルートフォース攻撃と違い、アカウントロックアウトの仕組みを回避できる。「Password123」「会社名2026」など、よくあるパスワードが狙われる。多要素認証（MFA）の導入が最も効果的な対策

【ぱすわーどすぷれーこうげき】

パスワードスプレー攻撃とは？

💡 一人を何度も叩くより、全員を一回ずつ→それがパスワードスプレー

📌 このページのポイント

1つのパスワードを多数のアカウントに試し、失敗したら次のパスワードに移る攻撃
ブルートフォース攻撃と違い、アカウントロックアウトの仕組みを回避できる
「Password123」「会社名2026」など、よくあるパスワードが狙われる
多要素認証（MFA）の導入が最も効果的な対策

ブルートフォースとパスワードスプレーの攻撃パターン比較

ひよこ

パスワードスプレー攻撃ってブルートフォースと何が違うの？

ペンギン先生

ブルートフォースは「1つのアカウントに対して大量のパスワードを試す」攻撃だけど、パスワードスプレーは逆で「1つのパスワードを大量のアカウントに試す」んだ。鍵を何本も試してドアを開けるか、1本の合鍵で全部のドアを試すかの違いだね。

ひよこ

なんでわざわざそんな回りくどいことするの？

ペンギン先生

多くのシステムは「5回パスワードを間違えるとロック」みたいな制限があるんだ。ブルートフォースだとすぐロックされるけど、パスワードスプレーなら各アカウントに1〜2回しか試さないから検知されにくいんだよ。

ひよこ

でも1つのパスワードで当たるわけないよね？

ペンギン先生

ところが当たるんだよ。数万人の組織なら「Password1」「Spring2026」「CompanyName123」みたいな単純なパスワードを使っている人が必ず何人かいる。攻撃者は1人でも突破できれば、そこから内部に侵入できるからね。

ひよこ

どうやって防げばいいの？

ペンギン先生

一番効果的なのは多要素認証（MFA）の導入だよ。パスワードが突破されても、スマホの認証コードがなければログインできない。あとはパスワードポリシーで「よくあるパスワード」をブラックリストに入れるのも有効だね。Microsoft 365やAzure ADには、パスワードスプレーを自動検知する機能も備わっているよ。

まとめ：ざっくりこれだけ覚えればOK！

「パスワードスプレー攻撃」って出てきたら「みんなが使いそうなパスワードを片っ端から全アカウントに試す攻撃」と思えればだいたいOK！

📖 おまけ：英語の意味

「Password Spray Attack」＝パスワード散布攻撃

💬 Spray（スプレー）は「霧吹きのように広く撒く」という意味で、1つのパスワードを大量のアカウントに撒き散らすイメージだよ

← 用語集にもどる

パスワードスプレー攻撃 とは？

パスワードスプレー攻撃とは？