Microsoftが公開した最新の「Digital Defense Report」に、見過ごせない数字が載っている。IDへの攻撃の97%は、パスワードスプレーによるものだ。

高度な解析ツールや量子コンピューターではない。ごく単純な手法——多数のアカウントに対し、ありがちなパスワードを少しずつ試し続けるだけ——が、現代のほぼすべてのID侵害を引き起こしている。これは、多くの現場が信じている「複雑なパスワードルールを設定すれば守られる」という前提そのものへの反証だ。

パスワードスプレー攻撃とは何か

パスワードスプレーは、ブルートフォース攻撃の進化系だ。従来型のブルートフォースは「1つのアカウントに大量のパスワードを試す」ため、アカウントロックアウトで検知・ブロックされやすかった。これに対しスプレー攻撃は発想を逆転させる。

「多数のアカウントに対し、1〜3種類だけパスワードを試す」

たとえば Welcome2024!Spring2026@ のような「複雑性要件を満たしつつ誰もが思いつく」文字列を、数千〜数万のアカウントに1回ずつ試すだけだ。ロックアウトのしきい値に引っかからず、ログ上でも「散発的な認証失敗」に見えるため、従来の監視体制では素通りしてしまう。

LinkedInや過去のデータ侵害から入手した実在のユーザー名リストと、「よく使われるパスワードTOP100」を組み合わせるだけで成立する、参入障壁の低い攻撃手法でもある。

従来のADパスワードポリシーが機能しない理由

Active Directoryの既定のパスワードポリシーは、こうした攻撃を想定して設計されていない。最小文字数・複雑性要件・有効期限・パスワード履歴——これらはすべて「ブルートフォース対策」や「内部からの単純な推測」を念頭に置いた設計だ。

問題は何を守れないかにある。

  • 既知の侵害パスワードのチェック機能がない: Password1! は複雑性を満たすが、すでに数百万件の侵害リストに存在する
  • スプレーパターンの横断検知ができない: ADは「このアカウントが何回失敗したか」は見るが、「組織全体で同じパスワードが何アカウントに試されたか」は見ない
  • コンテキスト(場所・デバイス・時間帯)を考慮しない: 深夜に海外IPからのアクセスでも、パスワードが正しければ通ってしまう

つまり、複雑なルールを設けてもスプレー攻撃には無力という構造的な問題がある。

管理者が今すぐ導入すべき対策

1. Microsoft Entra Password Protection

オンプレミスのADにも展開できるMicrosoftの仕組みで、Microsoftが管理するグローバルの禁止パスワードリストと、組織独自のカスタム禁止リストを組み合わせてパスワード設定時点でブロックできる。「複雑なのに侵害済み」というパスワードを排除する最初のラインだ。

2. MFA(多要素認証)の全員展開

パスワードが漏れた前提で考える。Microsoft Authenticatorのプッシュ通知 + 番号一致(Number Matching)を有効化すれば、正しいパスワードを持っていても突破できない壁になる。「管理者だけMFA」は今や論外で、全ユーザーが対象だ。

3. Conditional Access(条件付きアクセス)による文脈評価

IP・デバイス・場所・サインインリスクスコアを組み合わせてアクセスを制御する。Entra ID Protectionのリスクベースポリシーと組み合わせれば、スプレー攻撃で正しいパスワードを入力された瞬間に「高リスクサインイン」として検知し、MFAを強制または遮断できる。

4. 特権アカウントへのJust-In-Time(JIT)アクセス

ドメイン管理者やグローバル管理者の権限を「常時付与」している組織はまだ多い。常時付与は特権アカウント管理における最大のリスクだ。Microsoft Entra Privileged Identity Management(PIM)を使えば、必要なときだけ、承認ベースで一時的に昇格できる仕組みを作れる。攻撃者がパスワードを入手しても、権限が無効化された状態であれば実害は大幅に限定される。

5. パスワードレス認証への移行

根本的な解決策はパスワードをなくすことだ。FIDO2セキュリティキーやWindows Hello for Businessは、パスワード自体が存在しないためスプレー攻撃の対象にならない。段階的に高リスクユーザー(管理者・リモート接続ユーザー)から展開を始めるのが現実的だ。

日本のIT現場への影響

日本の大企業・中堅企業のオンプレAD環境では、グループポリシーによるパスワードポリシーを「セキュリティ対策済みの証拠」として扱っている現場が今でも少なくない。Entra IDへのハイブリッド移行途上で、認証周りの設定が中途半端なまま止まっているケースも多い。

「今まで大きな事故がなかった」は、「今まで攻撃者に見つかっていなかっただけ」の可能性が高い。侵害の多くは侵入から数ヶ月後に発覚する。

筆者の見解

セキュリティ全般は決して得意分野とは言えないが、認証・認可の設計には技術的な面白さを強く感じる領域でもある。

今回の「97%がパスワードスプレー」という数字は、正直に言って驚きではない。洗練された攻撃より、「普通の人が使いそうなパスワードを片っ端から試す」だけで9割以上が決まってしまうというのは、むしろ現在のID管理のあり方への問いかけだ。

MicrosoftはEntra IDにパスワードスプレー対策のための技術を揃えている。Password Protection、Entra ID Protection、Conditional Access、PIM——これらは単体ではなく組み合わせて使って初めて意味を持つ。M365やEntra IDを使いながら、パスワードポリシーだけ昔のままという状態は、道具を持っているのに使っていないのと同じだ。

ゼロトラストの原則は「信頼するな、常に検証せよ」。パスワードが正しかったとしても、文脈が怪しければ通さない——そのコンテキスト評価の仕組みをいかに実装するかが、2026年のID管理の核心だと思っている。複雑性ルールの議論に時間を使うより、MFAとCondtional Accessの展開を優先する方が、現実の脅威に対してはるかに有効だ。

出典: この記事は Why Active Directory Password Policy Fails Modern Attacks (and What Admins Need Instead) の内容をもとに、筆者の見解を加えて独自に執筆したものです。