2020 年 5 月 5 日 Marc Laliberte 著

英国国立サイバーセキュリティセンター（NCSC）と米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、医療および必要不可欠なサービスを標的とした、持続的標的型攻撃（APT）グループによる現在進行中の攻撃に焦点を当てた共同アドバイザリ（pdf） を発表しました。

このアドバイザリは、6 ページにわたっており、不特定多数のハッキンググループが「自国に益をもたらす、大量の個人情報、知的財産、情報などを収集するため、組織を標的としている」と述べられています。商業的、国家的利益のために知的財産を取得しようとする APT グループが積極的に狙う標的としては、製薬会社や研究機関が挙げられています。NCSC と CISA は、最近の Citrix の脆弱性（CVE-2019-19781）や、さまざまな VPN 製品の脆弱性が、サイバー犯罪者によって広く悪用されている、と述べています。

アドバイザリでは、APT グループが機密アカウントへの総当たり攻撃のためにパスワードスプレーの手法をどのように駆使しているかが述べられています。パスワードスプレーとは、まず有効なアカウントのログオン用ユーザ名やメールアドレスを特定し、次に一般的なパスワードをそのアカウントに対して総当たりで「スプレー」して偶然特定することを狙う認証攻撃の一種です。この攻撃は、アカウント別に強力で一意のパスワードを作成していないユーザや、多要素認証（MFA）を導入していない組織に対して特に有効です。

アカウントのロックアウト（短い時間内で認証に失敗し続けるとアカウントが自動的にロックされる機能）は一般的になっていますが、今回問題になっているサイバー犯罪者は、1 つめのパスワードを多数のアカウントに対して立て続けに試してから、次に 2 つめのパスワードを試す、という手法で、攻撃への対策を回避しようとしています。

しかし、パスワードスプレーは、優れたパスワードポリシーを適用し、多要素認証を運用していれば簡単に避けることができます。パスワードマネージャーを使用すれば、ユーザが記憶力に頼ることなく各アカウントに対して強力で一意なパスワードを生成して管理できるようになります。また、安全な MFA を導入すれば、認証攻撃のリスクをそれだけで軽減できます。